BFF KOZMETİK TEMİZLİK PLASTİK ÜRÜNLERİ VE TURİZM SAN.TİC.A.Ş. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 


  1. GİRİŞ

 

  1. Amaç

 

İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika BFF KOZMETİK TEMİZLİK PLASTİK ÜRÜNLERİ VE TURİZM SAN.TİC.A.Ş.  (“BFF’’)  tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

 

BFF; misyon, vizyon ve temel ilkeler doğrultusunda; BFF çalışanları, çalışan adayları, stajyerleri, şirket ortakları, gerçek kişi tedarikçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

 

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, BFF tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

 

  1. Kapsam

 

BFF çalışanları, çalışan adayları, şirket ortakları, gerçek kişi tedarikçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup BFF’nin sahip olduğu ya da BFF tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

 

  1. Tanımlar ve Kısaltmalar

 

 

Alıcı Grubu                  :

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

 

 

Açık Rıza                      :

 

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür

iradeyle açıklanan rıza.

 

 

Anonim Hale Getirme :

 

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir

surette kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilemeyecek hale getirilmesi.

 

Çalışan                          :

 

Stajyer                          :  

 

 

Çalışan Adayı              :

BFF personeli

 

BFF’ta eğitim amacıyla mesleki çalışma gösteren gerçek kişileri ifade eder.

 

BFF’nin hali hazırda istihdam ettiği kişilerden olmayan ve BFF’ye özgeçmiş ve/veya iş başvurularında gönderilmesi mutad olan diğer evrakları, BFF ile iş akdi yapmak maksadıyla herhangi bir şekilde, doğrudan veya aracılar vasıtasıyla gönderen tüm gerçek kişileri ifade eder.

 

Elektronik Ortam        :

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

 

 

İlgili Kişi                      : 

 

Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı             :

Verilerin teknik olarak depolanması, korunması ve

yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak

üzere veri sorumlusu organizasyonu içerisinde veya veri

sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel

verileri işleyen kişiler.

 

İmha                              :

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesi.

 

Kanun                           :

6698 Sayılı Kişisel Verilerin Korunması Kanunu.

 

Kayıt Ortamı                :

Tamamen veya kısmen otomatik olan ya da herhangi bir veri

kayıt sisteminin parçası olmak kaydıyla otomatik olmayan

yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

 

Kişisel Veri                   :

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her

türlü bilgi.

 

Kişisel Veri İşleme

Envanteri                      :

 

Veri sorumlularının iş süreçlerine bağlı olarak

gerçekleştirmekte oldukları kişisel verileri işleme

faaliyetlerini; kişisel verileri işleme amaçları ve hukuki

sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu

kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin

işlendikleri amaçlar için gerekli olan azami muhafaza edilme

süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri

ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak

detaylandırdıkları envanter.

 

Kişisel Verilerin 

İşlenmesi                       :

Kişisel verilerin tamamen veya kısmen otomatik olan ya da

herhangi bir veri kayıt sisteminin parçası olmak kaydıyla

otomatik olmayan yollarla elde edilmesi, kaydedilmesi,

depolanması, saklanması, değiştirilmesi, yeniden

düzenlenmesi, açıklanması, aktarılması, devralınması, elde

edilebilir hale getirilmesi, sınıflandırılması ya da

kullanılmasının engellenmesi gibi veriler üzerinde

gerçekleştirilen her türlü işlem.

 

Kurul                            :

Kişisel Verileri Koruma Kurulu

 

Özel Nitelikli Kişisel 

Veri                               :

 

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,

dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,

vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza

mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile

biyometrik ve genetik verileri.

 

BFF                            :                

İstanbul Ticaret Odası nezdinde 738184 sicil numarası ile tescilli olan BFF KOZMETİK TEMİZLİK PLASTİK ÜRÜNLERİ VE TURİZM SAN.TİC.A.Ş. ifade eder.

 

Politika                          :

Kişisel Verileri Saklama ve İmha Politikası

 

Veri İşleyen                  :

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu

adına kişisel verileri işleyen gerçek veya tüzel kişi.

 

Veri Güvenliği 

Sorumlusu                   :                   

 

 

 

Veri Sorumlusu           :

Şirket tarafından Veri Güvenli Sorumlusu sıfatıyla işbu Politikada yer alan fonksiyonları yerine getirmek üzere seçilen gerçek kişiyi ifade eder.

 

 

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,

veri kayıt sisteminin kurulmasında ve yönetilmesinden

sorumlu gerçek veya tüzel kişi.

 

Yönetmelik                   :

28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel

Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale

Getirilmesi Hakkında Yönetmelik

 

 

  1. Kayıt Ortamları

 

Kişisel veriler, BFF tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak

güvenli bir şekilde saklanır.

 

Tablo 2: Kişisel veri saklama ortamları

 

     Elektronik Ortamlar

      Elektronik Olmayan Ortamlar
  • Sunucular 

(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

 

  • Yazılımlar 

(ofis yazılımları)

 
  • ·         Kağıt
  • ·         Manuel veri kayıt sistemleri
  • ·         Yazılı, basılı, görsel ortamlar 

 

 

  1. Saklama ve İmhaya İlişkin Açıklamalar

 

BFF tarafından; çalışanlar, çalışan adayları, gerçek kişi tedarikçilere ilişkin olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

 

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

 

  1.  Saklamaya İlişkin Açıklamalar

 

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

 

Buna göre, şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

 

  1.  Saklamayı Gerektiren Hukuki Sebepler

 

BFF’nin şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4857 sayılı İş Kanunu,
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır

 

  1. Saklamayı Gerektiren İşleme Amaçları

 

 

Ana Amaçlar

Alt Amaçlar (İkincil Amaçlar)

BFF Şirketinin Genel Yönetimi

Şirket Yönetim Faaliyetlerin Planlanması ve İcrası

Şirket içi İletişim Faaliyetlerinin Planlanması ve İcrası

Şirketin Finansmanı ve/veya Muhasebe İşlerinin Takibi 

Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası 

Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi 

Finansal ve İdari Planlamaların Yapılması

 

Şirket'in İnsan  Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi

 

Personel Temin Süreçlerinin Yönetilmesi

Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi

 

Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası 

Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası 

Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi 

Finans ve/veya Muhasebe İşlerinin Takibi 

Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası 

İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası 

İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası

Etkinlik Yönetimi

 

Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası

BFF’nin Tarafı Olduğu Sözleşmeler ve/veya Mevzuattan Kaynaklı Yükümlülüklerini Yerine Getirmesi

Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası

BFF’nin Sunduğu Ürün ve/veya Hizmetlerin Usulune Uygun ve Düzgün Bir Şekilde Sunulması

İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi 

Stratejik Planlama Faaliyetlerinin İcrası

İş Ortakları ve/veya Tedarikçilerin Bilgiye Erişim Yetkilerinin Planlanması ve İcrası 

Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası  

Müşteri Talep ve/veya Şikayetlerinin Takibi

Şirketin Sunduğu Ürün ve/veya Hizmet Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası

Şirketin Finansal Risk Süreçlerinin Planlanması ve/veya İcrası

Şirketin Sunduğu Ürün ve/veya Hizmetlere Bağlılık Oluşturulması ve/veya Arttırılması Süreçlerinin Planlanması ve/veya İcrası

Şirketin Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması ve/veya İcrası

Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi

Üretim ve/veya Operasyon Süreçlerinin Planlanması ve İcrası

Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası 

Ürün ve/veya Hizmetlerin Pazarlama Süreçlerinin Planlanması ve İcrası 

Hizmetlere ve Ürünlere Yönelik Tanıtım, Pazarlama, Promosyon Ve Kampanya Faaliyetlerinin Yapılması,

 

BFF İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcrası

 

BFF Şirket Çalışanları/Stajyerleri İçin İş Akdi ve/veya Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışan/Stajyer Talep ve Şikayet Yönetimi 

BFF Ücret Yönetimine İlişkin Analiz ve İyileştirme Faaliyetlerinin Planlanması 

BFF Çalışanlarına/Stajyerlerine Yan Hak ve Menfaat Sağlanması Süreçlerinin Planlanması ve Destek Olunması 

BFF Çalışanlarının/Stajyerlerinin Ücret Yönetiminin Planlanması Faaliyetlerine Destek Olunması 

BFF Çalışanlarının/Stajyerlerinin Eğitim ve Kariyer Gelişimlerine İlişkin Süreçlerin Planlanması ve Destek Verilmesi 

BFF Çalışanlarının/Stajyerlerinin Memnuniyet ve Bağlılığının Artırılmasına Yönelik Süreçlerin Planlanması ve Yönetilmesi 

BFF nezdinde Stajyer ve/veya Öğrenci Temin, Yerleştirilmesi ve Operasyon Süreçlerinin Planlanması ve/veya İcrası 

BFF Çalışanların Bilgiye Erişim Yetkilerinin Planlanması ve İcrası

İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası 

 

BFF Stratejik İnsan Kaynakları Planlanması, Yedekleme Süreçleri ve Organizasyonel Gelişim Faaliyetleri Konusunda Destek Olunması

 

BFF Çalışanlarının/Stajyerlerinin Performans Değerlendirilmelerine İlişkin Süreçlerin Yönetilmesi 

BFF’nin Gelişim ve Yedekleme Planlamaları Faaliyetleri

BFF İçerisinde Personel ve Yöneticilerin Atama ve Terfi Süreçlerinin Yönetimine Destek Olunması

BFF Denetim Faaliyetlerinin Planlanması ve İcrası

BFF’nin Faaliyetlerinin Şirket Prosedürleri ve İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Denetim Faaliyetlerinin Planlanması ve İcrası

BFF’nin ve BFF’la İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari-İş Güvenliğinin Temin

Hukuk İşlerinin Takibi  

Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası 

Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini 

Şirket Operasyonlarının Güvenliğinin Temini 

Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi 

Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi 

Verilerin Doğru ve Güncel Olmasının Sağlanması 

Şirket Yerleşkesinin Güvenliğinin Temini 

Şirket Denetim Faaliyetlerinin Planlanması ve İcrası

İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası

 

 

  1. İmhayı Gerektiren Sebepler

 

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • BFF’nin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; ilgili kişinin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, BFF tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

 

  1. Teknik ve İdari Tedbirler

 

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde BFF tarafından teknik ve idari tedbirler alınır.

 

  1.  Özel Nitelikli Olmayan Kişisel Veriler

 

BFF, Kişisel Verilerin korunması için teknik ve idari tedbirler almaktadır. Bu tedbirler aşağıdaki gibidir:

 

  1. Teknik Tedbirler

 

  1. Kişisel Veriler, eğer elektronik veri olarak saklanmaları gerekmekte ise, BFF’nin

merkezi veri tabanlarına ve/veya BFF’nin bilgisayarlarına kayıt edilmeli ve Veri Güvenliği Sorumlusunun izni olmaksızın hiçbir koşulda taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kayıt edilmemelidir. Kişisel Verilerin Veri Sorumlusunun yazılı izni ile taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kaydedilmiş olması halinde bu veriler Veri Güvenliği Sorumlusunun talimatı üzerine söz konusu taşınabilir harici veri depolama aygıtlarından silinmeli ve silme işleminin gerçekleştirildiği veri sorumlusuna yazılı ve imzalı olarak teyit edilmelidir. 

 

  1. Kişisel Verileri içeren elektronik ortamlara uygun kötü amaçlı yazılımlara karşı virüs

koruma programları ve güvenlik duvarları kurulmalıdır.

 

  1. Kişisel Verilerin muhafaza edildiği elektronik ortamlar en az üç ayda bir defa test 

edilmeli, test sonuçları loglanmalıdır.

 

  1. Kişisel Verilerin muhafaza edildiği elektronik ortamlarda mevcut olan; ancak BFF 

tarafından kullanılmayan yazılım ve servisler silinmelidir. 

 

  1. Kişisel Verilerin muhafaza edildiği elektronik ortamlara erişme yetkisi bulunan tüm 

kullanıcıların işlem hareketi kayıtları düzenli olarak tutulmalı ve arşivlenmelidir. 

 

 

  1. Kişisel Veriler bulut ortamlarında muhafaza edilecekse, bulut ortamlarında muhafaza 

edilecek kişisel veriler yedeklenmeli, kriptografik yöntemlerle şifrelenmeli ve bulut ortamına şifrelendikten sonra aktarılmalıdır. Bulut bilişim hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tüm kopyaları imha edilmelidir. 

 

  1. Kişisel Verilerin muhafaza edildiği sistemin çökmesi, kötü niyetli, yazılım, servis dışı 

bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi sistem güvenliği ihlallerinde, bu hadiselere ilişkin deliller toplanmalı ve güvenli bir şekilde saklanmalıdır. 

 

  1. Sızma (Penetrasyon) testleri ile BFF bilişim sistemlerine yönelik risk, tehdit,

zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmalıdır.

 

  1. Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim 

sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmelidir.

 

  1. BFF’nin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için 

gerekli önlemler alınmalıdır.

 

  1. Elektronik ortamda muhafaza edilen Kişisel Veriler her üç ayda bir defa  

yedeklenmelidir. Yedeklenen Kişisel Verilere erişim, yalnızca BFF Yöneticilerine münhasır olmalı ve yedeği alınan veriler muhakkak ağ dışında muhafaza edilmelidir.

 

  1. Elektronik ortamda muhafaza edilen Kişisel Verilerin kazara kaybolmasını 

engellemek için uygun bir yedekleme programı kullanılmalı ve yedeklenen Kişisel Verileri içeren dosyalar kriptografi yöntemi ile şifrelenmelidir.

 

  1. Kişisel Verileri ihtiva eden elektronik cihazların tamirinin veya bakımının gerekmesi 

halinde, bu cihazlar tamir için gönderilmeden önce veri depolama ortamları sökülür ve BFF’nin yerleşkesinde emniyete alınır. 

 

  1. Kişisel Verilere erişim yetkisi yalnızca BFF Yöneticilerine ait olmalıdır. Kişisel 

Verilere erişim yetkisi olan kimselerin kimliği halin icabına göre uygun kimlik doğrulama yöntemleri kullanılarak doğrulanmalıdır. Kimlik doğrulama yönteminin elektronik şifreler olması halinde, bu elektronik şifreler güçlü şifreler olmalıdır. Kullanıcılarının seçecekleri şifreler en az 6 karakterden oluşmalı, en az bir büyük harf, bir küçük harf bir de özel karakter (örneğin; &%@) içermelidir ve kullanıcılar şifrelerini kimse ile paylaşmamalıdır. Bu sistemlerin kaba kuvvet algoritması (BFA) veya benzeri siber saldırılardan korunması için şifre deneme sayısı sınırlı olmalı, belirli sayıda başarısız denemeden sonra söz konusu kullanıcının şifresi dondurulmalıdır.

 

  1. Elektronik (e-mail ve diğer elektronik haberleşme yöntemleri dahil) veri transferleri 

şifreli olarak gerçekleştirilmelidir.

 

  1. Kişisel Verilerin depolandığı elektronik depolama aygıtlarının güvenliğini sağlamak 

için söz konusu sistemlerin bakımları ve güvenlik güncelleştirmeleri düzenli olarak yapılmalı, yaptırılmalıdır.

 

  1. Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu

risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik

kontroller yapılmalıdır.

 

  1. Kişisel Verilerin depolandığı elektronik sistemlerin güvenliği, BFF tarafından 

belirlenen periyotlarda test edilir ve Şirket tarafından gerekli görülmesi halinde, bu sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığı, BFF Yöneticilerine raporlanır. Bu testlerin sonuçları Şirket tarafından kayıt altına alınır. Kişisel Verilerin depolandığı elektronik sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığının test edilmesinde iş birliği yapılacak üçüncü şahısların işbu Politika ve Kanun ile ikincil mevzuatına uymayı taahhüt etmesi şarttır.

 

  1. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal

(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24

çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin

sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik

duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen

sistemler vb.) önlemler alınmalıdır.

 

  1. Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz

erişimler veya erişim denemeleri kontrol altında tutulmalıdır.

 

  1. BFF, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar 

kullanılamaz olması için gerekli tedbirleri almalıdır.

 

  1. BFF, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi 

halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturmalıdır.

 

  1. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi 

sistemleri güncel halde tutulmaktadır.

 

 

  1. İdari Tedbirler

 

  1. Kişisel Verilere erişim, yalnızca Kişisel Verilere erişme yetkisi, BFF

Yöneticilerine münhasır olmalıdır. 

 

  1. Çalışanlara, işbu Politika ve Kanun uyarınca söz konusu olan yükümlülüklerine 

ilişkin olarak düzenli eğitimler verilmeli ve BFF ile aralarındaki iş ilişkisi sona erdikten sonra dahi BFF nezdindeki görevlerini ifa ederken öğrendikleri Kişisel Verileri üçüncü şahıslara açıklamama yükümlülüğü altında oldukları hatırlatılmalıdır.

 

  1. Çalışanlara, Kişisel Verileri hukuka aykırı olarak açıklamalarını önlemek, özellikle 

kötü amaçlı yazılımlar vasıtasıyla veya dikkatsizlik ve tedbirsizlik ile Kişisel Verilerin hukuka aykırı olarak üçüncü şahısların eline geçmesini önlemek için farkındalık yaratıcı eğitimler verilmelidir. 

 

  1. Tüm Çalışanların, Kişisel Verilerin güvenliğine ilişkin rol ve sorumlulukları, görev 

tanımlarında belirlenmeli ve Çalışanlara bu sorumlulukları yerine getirmeleri gerektiği hatırlatılmalıdır.  

 

  1. Kişisel Veriler, yalnızca gerekli olduğu hallerde kopyalanmalı ve gereklilik 

ortadan kalktığı takdirde kopyalar Kişisel Verileri Saklama ve İmha Politikasına uygun şekilde imha edilmelidir. 

 

  1. Kişisel Verilerin saklandığı fiziksel ortamlarda uygun güvenlik önlemleri alınmak 

suretiyle yetkisiz erişimlerin önüne geçilmelidir. 

 

  1. Üçüncü şahıslarla yapılan sözleşmelerde BFF tarafından aktarılan Kişisel 

Verilerin gizli tutulması ve bu üçüncü kişilerin söz konusu Kişisel Verilere ilişkin olarak BFF’nin talimatlarına uygun hareket etmesine, Kişisel Verilerin muhafaza edilmesi için gerekli önlemleri almasına yönelik hükümler derç edilmelidir. 

 

 

 

  1. Kişisel Verilerin basılı kopyalarının üzerine kırmızı renkte ve rahatça görülebilir 

büyüklükte “Gizlidir” damgası vurulmalı ve bu evraklar Kişisel Verilerin depolanmasına tahsis edilmiş bir dolapta veya kasada kilitli olarak tutulmalı ve bu dolabın veya kasanın anahtarı ve şifre kombinasyonu yalnızca Veri Sorumlusunda bulunmalıdır. 

 

  1. Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri

değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan elinde bulunan tüm Kişisel Verileri BFF’ye iade eder.

 

  1. Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri

imzalatılmalıdır.

 

  1. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak 

disiplin prosedürü hazırlanmalıdır.

 

  1. Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma

yükümlülüğü yerine getirilmektedir.

 

  1. Kişisel veri işleme envanteri hazırlanmıştır.

 

  1. Şirket içi periyodik ve rastgele denetimler yapılmaktadır.

 

  1. Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir

 

  1. İnsan Faktörü

 

Kişisel Verilerin güvenliğine ilişkin olarak insan faktöründen kaynaklanan riskleri azaltmak için Şirket, yürürlükteki mevzuata uygun şekilde, tüm Çalışan Adayları ve Çalışanları için geçmiş sorgulaması yapabilir. Çalışan Adaylarına ve Çalışanlara ilişkin olarak bu şekilde elde edilen bilgiler de işbu politikanın uygulanması bakımından Kişisel Veri sayılır. 

 

Çalışan ile Şirket arasındaki hizmet akdinin herhangi bir sebeple sona ermesi halinde Çalışan, elinde bulunan tüm Kişisel Verileri Şirkete iade etmekle ve bu Kişisel Verileri iade ettikten sonra elinde başka herhangi bir Kişisel Veri kalmadığını yazılı olarak taahhüt etmekle yükümlüdür. 

 

BFF, Çalışanlarına, veri güvenliği ve kişisel verilerin korunmasına ilişkin olarak Şirket tarafından belirlenecek periyotlarda düzenli olarak eğitimler verir. 

 

  1. Veri Güvenliği Sorumlusu

 

BFF, işbu Politikanın uygulanmasını gözetmesi için bir Veri Güvenliği Sorumlusu belirler. Veri Güvenliği Sorumlusu, Şirketin Kanun’un ve ikincil mevzuatının uygulanmasından dolayı taşıdığı hukuki ve cezai sorumluluğu üstlenmeksizin işbu politikada kendisine verilen görevleri ifa eder ve genel olarak Şirketin Kanun ve ikincil mevzuat hükümlerine uygun şekilde faaliyet göstermesi için görüş ve önerilerini paylaşır.

 

  1. Özel Nitelikli Kişisel Veriler

 

  1. Teknik Tedbirler

 

  1. Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan 

Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.1 başlığında belirtilen tedbirler, 4.1.1 başlığında belirtilen teknik tedbirlere ek ve ilavedir. 

 

  1. Özel Nitelikli Kişisel Veriler, Özel Nitelikli Olmayan Kişisel Verilerden farklı 

ortamlarda muhafaza edilir.

 

  1. Özel Nitelikli Kişisel Verilerin muhafaza edildiği ve/veya erişildiği elektronik 

ortamlarda Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir. Kullanılacak kriptografik yöntemin türünü ve niteliğini Veri Güvenliği Sorumlusu belirler.

 

  1. Kriptografik anahtarlar farklı ve güvenli ortamlarda muhafaza edilir.

 

  1. Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem 

kayıtları güvenli olarak loglanır.

 

  1. Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri 

sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır.

 

  1. Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişilecekse bu yazılıma ait 

kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır ve test sonuçları kayıt altına alınır. 

 

  1. Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli 

kimlik doğrulama sistemi kullanılır.

 

  1. Özel Nitelikli Kişisel Veriler elektronik posta aracılığı ile aktarılacaksa şifreli 

olarak BFF’nin kurumsal elektronik posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.

 

  1. Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla 

aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtarlar farklı ortamlarda tutulur.

 

  1. Özel Nitelikli Kişisel Veriler farklı fiziksel ortamlardaki sunucular arasında 

aktarılacak ise, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir.

 

  1. Özel Nitelikli Kişisel Veri’nin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın 

çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir

 

  1. Özel Nitelikli Kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği 

fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

 

  1. Özel Nitelikli Kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel 

nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış,

verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

 

  1. İdari Tedbirler

 

  1. Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.2 başlığında belirtilen tedbirler 4.1.2 başlığında belirtilen tedbirlere ek ve ilavedir. 

 

  1. BFF Çalışanlarına, Özel Nitelikli Kişisel Verilerin hassasiyetine ve korunmasına ilişkin farkındalık yaratıcı eğitimler, BFF Yöneticileri tarafından belirlenecek periyotlarda düzenli olarak verilir. 

 

  1. Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanlar ile bu verilerin korunmasına ilişkin gizlilik sözleşmeleri imzalanır. 

 

  1. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, Özel Nitelikli Kişisel Verilere yetkisiz erişime ve bu verilerin kaybı riskine karşı yeterli önlemler alınır, özellikle, bu Özel Nitelikli Kişisel Verilerin muhafaza edildiği ortamlara yetkisiz giriş çıkış engellenir.

 

  1. Özel Nitelikli Kişisel Verilerin kâğıt ortamı yolu ile aktarılması gerekirse, evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı evrak, üzerinde kırmızı renkte ve görülebilir bir büyüklükte “GİZLİDİR” damgası taşıyan, evrakı teslim almaya kimin yetkili olduğunu belirten ve aşağıdaki uyarı metnini içeren bir kapak sayfası ile aktarılır:

 

“İşbu evrakta yalnızca muhatabını ilgilendiren, gizlilik yükümlüğü altında ve/veya kişiye veya kuruma özel GİZLİ BİLGİLER yer almaktadır. İşbu evrakı teslim almaya yetkili değilseniz, içeriğini ve varsa ekindeki dosyaları kimseye aktarmayınız veya kopyalamayınız. Böyle bir durumda lütfen evrakı derhal içeriği okunamayacak şekilde imha ediniz. Bu evrakın yetkisiz olarak çoğaltılması, gösterilmesi, teşhir edilmesi ve dağıtımı yasaktır ve bu yasak ihlal edildiği takdirde tarafınıza karşı yasal yollara başvurulacaktır.”

 

  1. Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan, elinde bulunan tüm Özel Nitelikli Kişisel Verileri BFF’ye iade eder.

 

  1. Veri Güvenliği İhlalleri

 

Çalışanlar, işbu Politikanın uygulanmasında herhangi bir ihlalin meydana gelmesi halinde durumu derhal Veri Güvenliği Sorumlusuna bildirmekle yükümlüdür. Veri güvenliği ihlali nedeniyle işlenen Kişisel Veriler kanuni olmayan yollarla başkaları tarafından elde edilmişse Şirket bu durumu en kısa süre içinde Kişisel Verileri kanuni olmayan yollarla başkaları tarafından elde edilen ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmelidir.

 

  1. Kişisel Verileri İmha Teknikleri

 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, BFF tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

 

  1.  Kişisel Verilerin Silinmesi

 

Kişisel Veriler BFF tarafından Tablo-3’te verilen yöntemlerle silinir.

 

Tablo-3: Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı

Açıklama

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

 

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

 

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Bulut Sistemlerinde Mevcut Veriler

Bulut sistemlerinde muhafaza edilen Kişisel Veriler, bulut sistemi ara yüzü üzerinden silme komutu verilmek suretiyle silinmelidir. Bazı bulut sistemlerinin silinen dosyaların kurtarılması imkanı sağladığı göz önünde bulundurularak silinen verinin geri getirilmesi olanağının bulunmamasına özen gösterilmelidir.

 

 

  1. Kişisel Verilerin İmhası/Yok Edilmesi

 

Kişisel Verilerin BFF tarafından imhası/yok edilmesi Tablo-4’te verilen yöntemlerle yapılır. 

 

Tablo-4: Kişisel Verilerin İmhası/Yok Edilmesi

 

Veri Kayıt Ortamı

Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kişisel Verileri içeren elektronik ortamlar, fiziksel olarak tahrip edilmek suretiyle çalışmaz hale getirilir. Fiziksel ortamda (kağıt, kartvizit vs.) bulunan kişisel veriler, İlgili Kişiyi ayırt etmeye yarayacak verilerin karartılması veya DIN 32757 standardına uygun bir kağıt parçalama makinesi ile Kişisel Verilerin bulunduğu kağıdın parçalanması yöntemi ile silinir.

 

Optik ve Manyetik Medyada Yer Alan Kişisel Veriler

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’den oluşan rastgele veriler [●] yazılımı kullanılarak yazılır ve eski verinin kurtarılmasının önüne geçilir. Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

 

  1. Kişisel Verilerin Anonim Hale Getirilmesi

 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kişisel Verilerin BFF tarafından Anonim Hale Getirilmesi Tablo-5’te verilen yöntemlerle yapılır.

 

Tablo-5: Kişisel Verilerin Anonim Hale Getirilmesi

 

Yöntem

Açıklama

Maskeleme

Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı, maskeleme ile temel belirleyici bilgilerin veri setinden çıkarılması suretiyle ortadan kaldırılır.

Toplulaştırma

İlgili Kişilerin Kişisel Verileri, toplulaştırılmak suretiyle İlgili Kişiler ile Kişisel Veriler arasındaki bağlantı ortadan kaldırılır. Bu işlem neticesinde ortaya istatistiki veriler çıkar. 

 

Veri Türetme

Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı Kişisel Verilerin içeriğinden daha genel bir içerik yaratılmak suretiyle ortadan kaldırılır. Bu şekilde oluşturulan yeni veri setinde İlgili Kişilerin kimliğini belirlemeye yarayan tanımlayıcı unsurlar yer almaz.

 

Veri Karma

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

 

  1. Saklama ve İmha Süreleri

 

BFF tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak veri kategorileri bazında saklama süreleri ve süreç bazında saklama süreleri işbu Kişisel Veri Saklama ve İmha Politikasında yer alır.

 

Söz konusu saklama süreleri üzerinde, gerekmesi halinde BFF Yönetim Kurulu tarafından güncellemeler yapılır.

 

Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi BFF Veri Güvenliği Sorumlusu tarafından yerine getirilir.

Tablo 6-İlgili Kişi ve Veri Kategorileri Bazında Saklama ve İmha Süreleri Tablosu

 

 

İlgili Kişi

İlgili Kişisel Veri Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri

Hukuki Sebep

Muhafaza Süresi

İmha Süresi

Çalışanlar

Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, beden ölçüleri

6698 s. Kişisel Verilerin Korunması Kanunu,

 

5510 s. Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

 

6331 s. İş Sağlığı ve Güvenliği Kanunu,

 

4857 s. İş Kanunu,

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Stajyerler

Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, beden ölçüleri

6698 s. Kişisel Verilerin Korunması Kanunu,

 

5510 s. Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

 

6331 s. İş Sağlığı ve Güvenliği Kanunu,

 

4857 s. İş Kanunu,

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Çalışan Adayları

Özgeçmişler

6698 s. Kişisel Verilerin Korunması Kanunu

 

İş başvurusunun olumsuz sonuçlanması durumunda 6 ay, olumlu sonuçlanması durumunda işten ayrılmasından itibaren 10 yıl. 

Saklama süresinin bitiminde derhal

Şirket Ortakları

Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri.

6698 s. Kişisel Verilerin Korunması Kanunu,

 

6102 s. Türk Ticaret Kanunu

 

Ortaklık sıfatı devam ettiği sürece muhafaza edilir. 

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Gerçek Kişi Tedarikçiler

Gerçek kişi tedarikçiler ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi tedarikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri.

 

6698 s. Kişisel Verilerin Korunması Kanunu,

 

6102 s. Türk Ticaret Kanunu

 

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Kurumsal Tedarikçilerin Yetkililileri, Çalışanları, Hissedarları

Kurumsal tedarikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.

6698 s. Kişisel Verilerin Korunması Kanunu,

 

6102 s. Türk Ticaret Kanunu

 

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Gerçek Kişi Müşteriler

Gerçek kişi müşteri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer belgeler. Gerçek kişi müşterilere ait ad-soyad, adres, kimlik numarası, telefon numaraları, e-posta adresi, meslek bilgileri.

 

6698 s. Kişisel Verilerin Korunması Kanunu,

 

6102 s. Türk Ticaret Kanunu

 

10 yıl

Saklama süresinin bitimini takip eden

İlk periyodik imha süresinde

Kurumsal Müşterilerin Gerçek Kişi Yetkilileri, Çalışanları, Hissedarları

Kurumsal müşterilerin gerçek kişi yetkililerine ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.

6698 s. Kişisel Verilerin Korunması Kanunu,

 

6102 s. Türk Ticaret Kanunu

 

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

İşbirliği İçerisinde Olduğumuz Gerçek Kişiler

Gerçek kişi işbirlikçileri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi işbirlikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri.

 

6698 s. Kişisel Verilerin Korunması Kanunu,

 

6102 s. Türk Ticaret Kanunu

 

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

İşbirliği İçerisinde Olduğumuz Kurumsal Çalışanları, Hissedarları ve Yetkilileri

Kurumsal işbirlikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri

6698 s. Kişisel Verilerin Korunması Kanunu,

 

6102 s. Türk Ticaret Kanunu

 

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Çalışan, Çalışan Adayı, Stajyer, Hissedar, Ziyaretçi

Fiziksel Mekan Güvenlik Bilgisi kapsamında kamera kayıtları

6698 s. Kişisel Verilerin Korunması Kanunu,

 

6 ay

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Çalışan,

Stajyer,  Müşteri, Ziyaretçi

İşlem Bilgisi kapsamında IP adresleri, e-mail trafikleri izleme bilgisi

6698 s. Kişisel Verilerin Korunması Kanunu,

 

3 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

 

 

 

Tablo 7-Süreç Bazında Saklama ve İmha Süreleri Tablosu

 

Süreç

Saklama Süresi

İmha Süresi 

İnsan Kaynakları Süreçlerinin Yönetilmesi

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Şirket Yönetim ve İdaresi İşlemleri

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Şirketin Ticari Faaliyetleri

10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Sözleşmelerin Hazırlanması

Sözleşmenin sona ermesini

takiben 10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

Şirketin İletişim Faaliyetlerinin İcrası

Faaliyetin sona ermesini

takiben 10 yıl

Saklama süresinin bitimini takip eden

ilk periyodik imha süresinde

 

  1. Periyodik İmha Süresi

 

Yönetmeliğin 11’inci maddesi gereğince BFF, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, BFF nezdinde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

 

 

  1. Politikanın Yayımlanması ve Saklanması

 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır.  Basılı kâğıt nüshası da Veri Güvenliği Sorumlusu tarafından dosyasında saklanır.

 

  1. Politika’nın Güncellenme Periyodu

 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

 

  1. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması 

 

Politika, BFF’nin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.

 

Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları BFF Yönetim Kurulu Kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Veri Güvenliği Sorumlusu tarafından saklanır.