BFF KOZMETİK TEMİZLİK PLASTİK ÜRÜNLERİ VE TURİZM SAN.TİC.A.Ş. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika BFF KOZMETİK TEMİZLİK PLASTİK ÜRÜNLERİ VE TURİZM SAN.TİC.A.Ş. (“BFF’’) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
BFF; misyon, vizyon ve temel ilkeler doğrultusunda; BFF çalışanları, çalışan adayları, stajyerleri, şirket ortakları, gerçek kişi tedarikçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, BFF tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
BFF çalışanları, çalışan adayları, şirket ortakları, gerçek kişi tedarikçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup BFF’nin sahip olduğu ya da BFF tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Alıcı Grubu :
|
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
|
Açık Rıza :
|
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür
iradeyle açıklanan rıza.
|
Anonim Hale Getirme :
|
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesi.
|
Çalışan :
Stajyer :
Çalışan Adayı :
|
BFF personeli
BFF’ta eğitim amacıyla mesleki çalışma gösteren gerçek kişileri ifade eder.
BFF’nin hali hazırda istihdam ettiği kişilerden olmayan ve BFF’ye özgeçmiş ve/veya iş başvurularında gönderilmesi mutad olan diğer evrakları, BFF ile iş akdi yapmak maksadıyla herhangi bir şekilde, doğrudan veya aracılar vasıtasıyla gönderen tüm gerçek kişileri ifade eder.
|
Elektronik Ortam :
|
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
|
İlgili Kişi :
|
Kişisel verisi işlenen gerçek kişi.
|
İlgili Kullanıcı :
|
Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak
üzere veri sorumlusu organizasyonu içerisinde veya veri
sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel
verileri işleyen kişiler.
|
İmha :
|
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesi.
|
Kanun :
|
6698 Sayılı Kişisel Verilerin Korunması Kanunu.
|
Kayıt Ortamı :
|
Tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
|
Kişisel Veri :
|
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her
türlü bilgi.
|
Kişisel Veri İşleme
Envanteri :
|
Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel verileri işleme
faaliyetlerini; kişisel verileri işleme amaçları ve hukuki
sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu
kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin
işlendikleri amaçlar için gerekli olan azami muhafaza edilme
süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri
ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak
detaylandırdıkları envanter.
|
Kişisel Verilerin
İşlenmesi :
|
Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, saklanması, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde
edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlem.
|
Kurul :
|
Kişisel Verileri Koruma Kurulu
|
Özel Nitelikli Kişisel
Veri :
|
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri.
|
BFF :
|
İstanbul Ticaret Odası nezdinde 738184 sicil numarası ile tescilli olan BFF KOZMETİK TEMİZLİK PLASTİK ÜRÜNLERİ VE TURİZM SAN.TİC.A.Ş. ifade eder.
|
Politika :
|
Kişisel Verileri Saklama ve İmha Politikası
|
Veri İşleyen :
|
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu
adına kişisel verileri işleyen gerçek veya tüzel kişi.
|
Veri Güvenliği
Sorumlusu :
Veri Sorumlusu :
|
Şirket tarafından Veri Güvenli Sorumlusu sıfatıyla işbu Politikada yer alan fonksiyonları yerine getirmek üzere seçilen gerçek kişiyi ifade eder.
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,
veri kayıt sisteminin kurulmasında ve yönetilmesinden
sorumlu gerçek veya tüzel kişi.
|
Yönetmelik :
|
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik
|
Kişisel veriler, BFF tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak
güvenli bir şekilde saklanır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar
|
Elektronik Olmayan Ortamlar
|
(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
(ofis yazılımları)
|
- · Kağıt
- · Manuel veri kayıt sistemleri
- · Yazılı, basılı, görsel ortamlar
|
- Saklama ve İmhaya İlişkin Açıklamalar
BFF tarafından; çalışanlar, çalışan adayları, gerçek kişi tedarikçilere ilişkin olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
- Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
- Saklamayı Gerektiren Hukuki Sebepler
BFF’nin şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6102 sayılı Türk Ticaret Kanunu
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4857 sayılı İş Kanunu,
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır
- Saklamayı Gerektiren İşleme Amaçları
Ana Amaçlar
|
Alt Amaçlar (İkincil Amaçlar)
|
BFF Şirketinin Genel Yönetimi
|
Şirket Yönetim Faaliyetlerin Planlanması ve İcrası
Şirket içi İletişim Faaliyetlerinin Planlanması ve İcrası
Şirketin Finansmanı ve/veya Muhasebe İşlerinin Takibi
Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası
Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi
Finansal ve İdari Planlamaların Yapılması
|
Şirket'in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi
|
Personel Temin Süreçlerinin Yönetilmesi
|
Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi
|
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası
Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi
Finans ve/veya Muhasebe İşlerinin Takibi
Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası
İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası
İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası
Etkinlik Yönetimi
|
Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası
|
BFF’nin Tarafı Olduğu Sözleşmeler ve/veya Mevzuattan Kaynaklı Yükümlülüklerini Yerine Getirmesi
Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası
BFF’nin Sunduğu Ürün ve/veya Hizmetlerin Usulune Uygun ve Düzgün Bir Şekilde Sunulması
İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi
Stratejik Planlama Faaliyetlerinin İcrası
İş Ortakları ve/veya Tedarikçilerin Bilgiye Erişim Yetkilerinin Planlanması ve İcrası
Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası
Müşteri Talep ve/veya Şikayetlerinin Takibi
Şirketin Sunduğu Ürün ve/veya Hizmet Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası
Şirketin Finansal Risk Süreçlerinin Planlanması ve/veya İcrası
Şirketin Sunduğu Ürün ve/veya Hizmetlere Bağlılık Oluşturulması ve/veya Arttırılması Süreçlerinin Planlanması ve/veya İcrası
Şirketin Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması ve/veya İcrası
Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi
Üretim ve/veya Operasyon Süreçlerinin Planlanması ve İcrası
Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası
Ürün ve/veya Hizmetlerin Pazarlama Süreçlerinin Planlanması ve İcrası
Hizmetlere ve Ürünlere Yönelik Tanıtım, Pazarlama, Promosyon Ve Kampanya Faaliyetlerinin Yapılması,
|
BFF İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcrası
|
BFF Şirket Çalışanları/Stajyerleri İçin İş Akdi ve/veya Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışan/Stajyer Talep ve Şikayet Yönetimi
BFF Ücret Yönetimine İlişkin Analiz ve İyileştirme Faaliyetlerinin Planlanması
BFF Çalışanlarına/Stajyerlerine Yan Hak ve Menfaat Sağlanması Süreçlerinin Planlanması ve Destek Olunması
BFF Çalışanlarının/Stajyerlerinin Ücret Yönetiminin Planlanması Faaliyetlerine Destek Olunması
BFF Çalışanlarının/Stajyerlerinin Eğitim ve Kariyer Gelişimlerine İlişkin Süreçlerin Planlanması ve Destek Verilmesi
BFF Çalışanlarının/Stajyerlerinin Memnuniyet ve Bağlılığının Artırılmasına Yönelik Süreçlerin Planlanması ve Yönetilmesi
BFF nezdinde Stajyer ve/veya Öğrenci Temin, Yerleştirilmesi ve Operasyon Süreçlerinin Planlanması ve/veya İcrası
BFF Çalışanların Bilgiye Erişim Yetkilerinin Planlanması ve İcrası
İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası
|
BFF Stratejik İnsan Kaynakları Planlanması, Yedekleme Süreçleri ve Organizasyonel Gelişim Faaliyetleri Konusunda Destek Olunması
|
BFF Çalışanlarının/Stajyerlerinin Performans Değerlendirilmelerine İlişkin Süreçlerin Yönetilmesi
BFF’nin Gelişim ve Yedekleme Planlamaları Faaliyetleri
BFF İçerisinde Personel ve Yöneticilerin Atama ve Terfi Süreçlerinin Yönetimine Destek Olunması
|
BFF Denetim Faaliyetlerinin Planlanması ve İcrası
|
BFF’nin Faaliyetlerinin Şirket Prosedürleri ve İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Denetim Faaliyetlerinin Planlanması ve İcrası
|
BFF’nin ve BFF’la İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari-İş Güvenliğinin Temin
|
Hukuk İşlerinin Takibi
Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası
Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini
Şirket Operasyonlarının Güvenliğinin Temini
Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi
Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi
Verilerin Doğru ve Güncel Olmasının Sağlanması
Şirket Yerleşkesinin Güvenliğinin Temini
Şirket Denetim Faaliyetlerinin Planlanması ve İcrası
İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası
|
- İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- BFF’nin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; ilgili kişinin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, BFF tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
- Teknik ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde BFF tarafından teknik ve idari tedbirler alınır.
- Özel Nitelikli Olmayan Kişisel Veriler
BFF, Kişisel Verilerin korunması için teknik ve idari tedbirler almaktadır. Bu tedbirler aşağıdaki gibidir:
- Kişisel Veriler, eğer elektronik veri olarak saklanmaları gerekmekte ise, BFF’nin
merkezi veri tabanlarına ve/veya BFF’nin bilgisayarlarına kayıt edilmeli ve Veri Güvenliği Sorumlusunun izni olmaksızın hiçbir koşulda taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kayıt edilmemelidir. Kişisel Verilerin Veri Sorumlusunun yazılı izni ile taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kaydedilmiş olması halinde bu veriler Veri Güvenliği Sorumlusunun talimatı üzerine söz konusu taşınabilir harici veri depolama aygıtlarından silinmeli ve silme işleminin gerçekleştirildiği veri sorumlusuna yazılı ve imzalı olarak teyit edilmelidir.
- Kişisel Verileri içeren elektronik ortamlara uygun kötü amaçlı yazılımlara karşı virüs
koruma programları ve güvenlik duvarları kurulmalıdır.
- Kişisel Verilerin muhafaza edildiği elektronik ortamlar en az üç ayda bir defa test
edilmeli, test sonuçları loglanmalıdır.
- Kişisel Verilerin muhafaza edildiği elektronik ortamlarda mevcut olan; ancak BFF
tarafından kullanılmayan yazılım ve servisler silinmelidir.
- Kişisel Verilerin muhafaza edildiği elektronik ortamlara erişme yetkisi bulunan tüm
kullanıcıların işlem hareketi kayıtları düzenli olarak tutulmalı ve arşivlenmelidir.
- Kişisel Veriler bulut ortamlarında muhafaza edilecekse, bulut ortamlarında muhafaza
edilecek kişisel veriler yedeklenmeli, kriptografik yöntemlerle şifrelenmeli ve bulut ortamına şifrelendikten sonra aktarılmalıdır. Bulut bilişim hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tüm kopyaları imha edilmelidir.
- Kişisel Verilerin muhafaza edildiği sistemin çökmesi, kötü niyetli, yazılım, servis dışı
bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi sistem güvenliği ihlallerinde, bu hadiselere ilişkin deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
- Sızma (Penetrasyon) testleri ile BFF bilişim sistemlerine yönelik risk, tehdit,
zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmalıdır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim
sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmelidir.
- BFF’nin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için
gerekli önlemler alınmalıdır.
- Elektronik ortamda muhafaza edilen Kişisel Veriler her üç ayda bir defa
yedeklenmelidir. Yedeklenen Kişisel Verilere erişim, yalnızca BFF Yöneticilerine münhasır olmalı ve yedeği alınan veriler muhakkak ağ dışında muhafaza edilmelidir.
- Elektronik ortamda muhafaza edilen Kişisel Verilerin kazara kaybolmasını
engellemek için uygun bir yedekleme programı kullanılmalı ve yedeklenen Kişisel Verileri içeren dosyalar kriptografi yöntemi ile şifrelenmelidir.
- Kişisel Verileri ihtiva eden elektronik cihazların tamirinin veya bakımının gerekmesi
halinde, bu cihazlar tamir için gönderilmeden önce veri depolama ortamları sökülür ve BFF’nin yerleşkesinde emniyete alınır.
- Kişisel Verilere erişim yetkisi yalnızca BFF Yöneticilerine ait olmalıdır. Kişisel
Verilere erişim yetkisi olan kimselerin kimliği halin icabına göre uygun kimlik doğrulama yöntemleri kullanılarak doğrulanmalıdır. Kimlik doğrulama yönteminin elektronik şifreler olması halinde, bu elektronik şifreler güçlü şifreler olmalıdır. Kullanıcılarının seçecekleri şifreler en az 6 karakterden oluşmalı, en az bir büyük harf, bir küçük harf bir de özel karakter (örneğin; &%@) içermelidir ve kullanıcılar şifrelerini kimse ile paylaşmamalıdır. Bu sistemlerin kaba kuvvet algoritması (BFA) veya benzeri siber saldırılardan korunması için şifre deneme sayısı sınırlı olmalı, belirli sayıda başarısız denemeden sonra söz konusu kullanıcının şifresi dondurulmalıdır.
- Elektronik (e-mail ve diğer elektronik haberleşme yöntemleri dahil) veri transferleri
şifreli olarak gerçekleştirilmelidir.
- Kişisel Verilerin depolandığı elektronik depolama aygıtlarının güvenliğini sağlamak
için söz konusu sistemlerin bakımları ve güvenlik güncelleştirmeleri düzenli olarak yapılmalı, yaptırılmalıdır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu
risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik
kontroller yapılmalıdır.
- Kişisel Verilerin depolandığı elektronik sistemlerin güvenliği, BFF tarafından
belirlenen periyotlarda test edilir ve Şirket tarafından gerekli görülmesi halinde, bu sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığı, BFF Yöneticilerine raporlanır. Bu testlerin sonuçları Şirket tarafından kayıt altına alınır. Kişisel Verilerin depolandığı elektronik sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığının test edilmesinde iş birliği yapılacak üçüncü şahısların işbu Politika ve Kanun ile ikincil mevzuatına uymayı taahhüt etmesi şarttır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal
(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24
çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin
sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik
duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen
sistemler vb.) önlemler alınmalıdır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz
erişimler veya erişim denemeleri kontrol altında tutulmalıdır.
- BFF, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar
kullanılamaz olması için gerekli tedbirleri almalıdır.
- BFF, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi
halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturmalıdır.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi
sistemleri güncel halde tutulmaktadır.
- Kişisel Verilere erişim, yalnızca Kişisel Verilere erişme yetkisi, BFF
Yöneticilerine münhasır olmalıdır.
- Çalışanlara, işbu Politika ve Kanun uyarınca söz konusu olan yükümlülüklerine
ilişkin olarak düzenli eğitimler verilmeli ve BFF ile aralarındaki iş ilişkisi sona erdikten sonra dahi BFF nezdindeki görevlerini ifa ederken öğrendikleri Kişisel Verileri üçüncü şahıslara açıklamama yükümlülüğü altında oldukları hatırlatılmalıdır.
- Çalışanlara, Kişisel Verileri hukuka aykırı olarak açıklamalarını önlemek, özellikle
kötü amaçlı yazılımlar vasıtasıyla veya dikkatsizlik ve tedbirsizlik ile Kişisel Verilerin hukuka aykırı olarak üçüncü şahısların eline geçmesini önlemek için farkındalık yaratıcı eğitimler verilmelidir.
- Tüm Çalışanların, Kişisel Verilerin güvenliğine ilişkin rol ve sorumlulukları, görev
tanımlarında belirlenmeli ve Çalışanlara bu sorumlulukları yerine getirmeleri gerektiği hatırlatılmalıdır.
- Kişisel Veriler, yalnızca gerekli olduğu hallerde kopyalanmalı ve gereklilik
ortadan kalktığı takdirde kopyalar Kişisel Verileri Saklama ve İmha Politikasına uygun şekilde imha edilmelidir.
- Kişisel Verilerin saklandığı fiziksel ortamlarda uygun güvenlik önlemleri alınmak
suretiyle yetkisiz erişimlerin önüne geçilmelidir.
- Üçüncü şahıslarla yapılan sözleşmelerde BFF tarafından aktarılan Kişisel
Verilerin gizli tutulması ve bu üçüncü kişilerin söz konusu Kişisel Verilere ilişkin olarak BFF’nin talimatlarına uygun hareket etmesine, Kişisel Verilerin muhafaza edilmesi için gerekli önlemleri almasına yönelik hükümler derç edilmelidir.
- Kişisel Verilerin basılı kopyalarının üzerine kırmızı renkte ve rahatça görülebilir
büyüklükte “Gizlidir” damgası vurulmalı ve bu evraklar Kişisel Verilerin depolanmasına tahsis edilmiş bir dolapta veya kasada kilitli olarak tutulmalı ve bu dolabın veya kasanın anahtarı ve şifre kombinasyonu yalnızca Veri Sorumlusunda bulunmalıdır.
- Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri
değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan elinde bulunan tüm Kişisel Verileri BFF’ye iade eder.
- Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri
imzalatılmalıdır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak
disiplin prosedürü hazırlanmalıdır.
- Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma
yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir
Kişisel Verilerin güvenliğine ilişkin olarak insan faktöründen kaynaklanan riskleri azaltmak için Şirket, yürürlükteki mevzuata uygun şekilde, tüm Çalışan Adayları ve Çalışanları için geçmiş sorgulaması yapabilir. Çalışan Adaylarına ve Çalışanlara ilişkin olarak bu şekilde elde edilen bilgiler de işbu politikanın uygulanması bakımından Kişisel Veri sayılır.
Çalışan ile Şirket arasındaki hizmet akdinin herhangi bir sebeple sona ermesi halinde Çalışan, elinde bulunan tüm Kişisel Verileri Şirkete iade etmekle ve bu Kişisel Verileri iade ettikten sonra elinde başka herhangi bir Kişisel Veri kalmadığını yazılı olarak taahhüt etmekle yükümlüdür.
BFF, Çalışanlarına, veri güvenliği ve kişisel verilerin korunmasına ilişkin olarak Şirket tarafından belirlenecek periyotlarda düzenli olarak eğitimler verir.
BFF, işbu Politikanın uygulanmasını gözetmesi için bir Veri Güvenliği Sorumlusu belirler. Veri Güvenliği Sorumlusu, Şirketin Kanun’un ve ikincil mevzuatının uygulanmasından dolayı taşıdığı hukuki ve cezai sorumluluğu üstlenmeksizin işbu politikada kendisine verilen görevleri ifa eder ve genel olarak Şirketin Kanun ve ikincil mevzuat hükümlerine uygun şekilde faaliyet göstermesi için görüş ve önerilerini paylaşır.
- Özel Nitelikli Kişisel Veriler
- Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan
Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.1 başlığında belirtilen tedbirler, 4.1.1 başlığında belirtilen teknik tedbirlere ek ve ilavedir.
- Özel Nitelikli Kişisel Veriler, Özel Nitelikli Olmayan Kişisel Verilerden farklı
ortamlarda muhafaza edilir.
- Özel Nitelikli Kişisel Verilerin muhafaza edildiği ve/veya erişildiği elektronik
ortamlarda Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir. Kullanılacak kriptografik yöntemin türünü ve niteliğini Veri Güvenliği Sorumlusu belirler.
- Kriptografik anahtarlar farklı ve güvenli ortamlarda muhafaza edilir.
- Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem
kayıtları güvenli olarak loglanır.
- Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri
sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır.
- Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişilecekse bu yazılıma ait
kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır ve test sonuçları kayıt altına alınır.
- Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli
kimlik doğrulama sistemi kullanılır.
- Özel Nitelikli Kişisel Veriler elektronik posta aracılığı ile aktarılacaksa şifreli
olarak BFF’nin kurumsal elektronik posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.
- Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla
aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtarlar farklı ortamlarda tutulur.
- Özel Nitelikli Kişisel Veriler farklı fiziksel ortamlardaki sunucular arasında
aktarılacak ise, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir.
- Özel Nitelikli Kişisel Veri’nin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın
çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir
- Özel Nitelikli Kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel Nitelikli Kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel
nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış,
verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.2 başlığında belirtilen tedbirler 4.1.2 başlığında belirtilen tedbirlere ek ve ilavedir.
- BFF Çalışanlarına, Özel Nitelikli Kişisel Verilerin hassasiyetine ve korunmasına ilişkin farkındalık yaratıcı eğitimler, BFF Yöneticileri tarafından belirlenecek periyotlarda düzenli olarak verilir.
- Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanlar ile bu verilerin korunmasına ilişkin gizlilik sözleşmeleri imzalanır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, Özel Nitelikli Kişisel Verilere yetkisiz erişime ve bu verilerin kaybı riskine karşı yeterli önlemler alınır, özellikle, bu Özel Nitelikli Kişisel Verilerin muhafaza edildiği ortamlara yetkisiz giriş çıkış engellenir.
- Özel Nitelikli Kişisel Verilerin kâğıt ortamı yolu ile aktarılması gerekirse, evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı evrak, üzerinde kırmızı renkte ve görülebilir bir büyüklükte “GİZLİDİR” damgası taşıyan, evrakı teslim almaya kimin yetkili olduğunu belirten ve aşağıdaki uyarı metnini içeren bir kapak sayfası ile aktarılır:
“İşbu evrakta yalnızca muhatabını ilgilendiren, gizlilik yükümlüğü altında ve/veya kişiye veya kuruma özel GİZLİ BİLGİLER yer almaktadır. İşbu evrakı teslim almaya yetkili değilseniz, içeriğini ve varsa ekindeki dosyaları kimseye aktarmayınız veya kopyalamayınız. Böyle bir durumda lütfen evrakı derhal içeriği okunamayacak şekilde imha ediniz. Bu evrakın yetkisiz olarak çoğaltılması, gösterilmesi, teşhir edilmesi ve dağıtımı yasaktır ve bu yasak ihlal edildiği takdirde tarafınıza karşı yasal yollara başvurulacaktır.”
- Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan, elinde bulunan tüm Özel Nitelikli Kişisel Verileri BFF’ye iade eder.
Çalışanlar, işbu Politikanın uygulanmasında herhangi bir ihlalin meydana gelmesi halinde durumu derhal Veri Güvenliği Sorumlusuna bildirmekle yükümlüdür. Veri güvenliği ihlali nedeniyle işlenen Kişisel Veriler kanuni olmayan yollarla başkaları tarafından elde edilmişse Şirket bu durumu en kısa süre içinde Kişisel Verileri kanuni olmayan yollarla başkaları tarafından elde edilen ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmelidir.
- Kişisel Verileri İmha Teknikleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, BFF tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
- Kişisel Verilerin Silinmesi
Kişisel Veriler BFF tarafından Tablo-3’te verilen yöntemlerle silinir.
Tablo-3: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı
|
Açıklama
|
Sunucularda Yer Alan Kişisel Veriler
|
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
|
Elektronik Ortamda Yer Alan Kişisel Veriler
|
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
|
Fiziksel Ortamda Yer Alan Kişisel Veriler
|
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
|
Taşınabilir Medyada Bulunan Kişisel Veriler
|
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
|
Bulut Sistemlerinde Mevcut Veriler
|
Bulut sistemlerinde muhafaza edilen Kişisel Veriler, bulut sistemi ara yüzü üzerinden silme komutu verilmek suretiyle silinmelidir. Bazı bulut sistemlerinin silinen dosyaların kurtarılması imkanı sağladığı göz önünde bulundurularak silinen verinin geri getirilmesi olanağının bulunmamasına özen gösterilmelidir.
|
- Kişisel Verilerin İmhası/Yok Edilmesi
Kişisel Verilerin BFF tarafından imhası/yok edilmesi Tablo-4’te verilen yöntemlerle yapılır.
Tablo-4: Kişisel Verilerin İmhası/Yok Edilmesi
Veri Kayıt Ortamı
|
Açıklama
|
Fiziksel Ortamda Yer Alan Kişisel Veriler
|
Kişisel Verileri içeren elektronik ortamlar, fiziksel olarak tahrip edilmek suretiyle çalışmaz hale getirilir. Fiziksel ortamda (kağıt, kartvizit vs.) bulunan kişisel veriler, İlgili Kişiyi ayırt etmeye yarayacak verilerin karartılması veya DIN 32757 standardına uygun bir kağıt parçalama makinesi ile Kişisel Verilerin bulunduğu kağıdın parçalanması yöntemi ile silinir.
|
Optik ve Manyetik Medyada Yer Alan Kişisel Veriler
|
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’den oluşan rastgele veriler [●] yazılımı kullanılarak yazılır ve eski verinin kurtarılmasının önüne geçilir. Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
|
- Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Kişisel Verilerin BFF tarafından Anonim Hale Getirilmesi Tablo-5’te verilen yöntemlerle yapılır.
Tablo-5: Kişisel Verilerin Anonim Hale Getirilmesi
Yöntem
|
Açıklama
|
Maskeleme
|
Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı, maskeleme ile temel belirleyici bilgilerin veri setinden çıkarılması suretiyle ortadan kaldırılır.
|
Toplulaştırma
|
İlgili Kişilerin Kişisel Verileri, toplulaştırılmak suretiyle İlgili Kişiler ile Kişisel Veriler arasındaki bağlantı ortadan kaldırılır. Bu işlem neticesinde ortaya istatistiki veriler çıkar.
|
Veri Türetme
|
Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı Kişisel Verilerin içeriğinden daha genel bir içerik yaratılmak suretiyle ortadan kaldırılır. Bu şekilde oluşturulan yeni veri setinde İlgili Kişilerin kimliğini belirlemeye yarayan tanımlayıcı unsurlar yer almaz.
|
Veri Karma
|
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
|
BFF tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak veri kategorileri bazında saklama süreleri ve süreç bazında saklama süreleri işbu Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde BFF Yönetim Kurulu tarafından güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi BFF Veri Güvenliği Sorumlusu tarafından yerine getirilir.
Tablo 6-İlgili Kişi ve Veri Kategorileri Bazında Saklama ve İmha Süreleri Tablosu
İlgili Kişi
|
İlgili Kişisel Veri Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri
|
Hukuki Sebep
|
Muhafaza Süresi
|
İmha Süresi
|
Çalışanlar
|
Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, beden ölçüleri
|
6698 s. Kişisel Verilerin Korunması Kanunu,
5510 s. Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 s. İş Sağlığı ve Güvenliği Kanunu,
4857 s. İş Kanunu,
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Stajyerler
|
Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, beden ölçüleri
|
6698 s. Kişisel Verilerin Korunması Kanunu,
5510 s. Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 s. İş Sağlığı ve Güvenliği Kanunu,
4857 s. İş Kanunu,
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Çalışan Adayları
|
Özgeçmişler
|
6698 s. Kişisel Verilerin Korunması Kanunu
|
İş başvurusunun olumsuz sonuçlanması durumunda 6 ay, olumlu sonuçlanması durumunda işten ayrılmasından itibaren 10 yıl.
|
Saklama süresinin bitiminde derhal
|
Şirket Ortakları
|
Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri.
|
6698 s. Kişisel Verilerin Korunması Kanunu,
6102 s. Türk Ticaret Kanunu
|
Ortaklık sıfatı devam ettiği sürece muhafaza edilir.
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Gerçek Kişi Tedarikçiler
|
Gerçek kişi tedarikçiler ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi tedarikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri.
|
6698 s. Kişisel Verilerin Korunması Kanunu,
6102 s. Türk Ticaret Kanunu
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Kurumsal Tedarikçilerin Yetkililileri, Çalışanları, Hissedarları
|
Kurumsal tedarikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.
|
6698 s. Kişisel Verilerin Korunması Kanunu,
6102 s. Türk Ticaret Kanunu
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Gerçek Kişi Müşteriler
|
Gerçek kişi müşteri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer belgeler. Gerçek kişi müşterilere ait ad-soyad, adres, kimlik numarası, telefon numaraları, e-posta adresi, meslek bilgileri.
|
6698 s. Kişisel Verilerin Korunması Kanunu,
6102 s. Türk Ticaret Kanunu
|
10 yıl
|
Saklama süresinin bitimini takip eden
İlk periyodik imha süresinde
|
Kurumsal Müşterilerin Gerçek Kişi Yetkilileri, Çalışanları, Hissedarları
|
Kurumsal müşterilerin gerçek kişi yetkililerine ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.
|
6698 s. Kişisel Verilerin Korunması Kanunu,
6102 s. Türk Ticaret Kanunu
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
İşbirliği İçerisinde Olduğumuz Gerçek Kişiler
|
Gerçek kişi işbirlikçileri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi işbirlikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri.
|
6698 s. Kişisel Verilerin Korunması Kanunu,
6102 s. Türk Ticaret Kanunu
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
İşbirliği İçerisinde Olduğumuz Kurumsal Çalışanları, Hissedarları ve Yetkilileri
|
Kurumsal işbirlikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri
|
6698 s. Kişisel Verilerin Korunması Kanunu,
6102 s. Türk Ticaret Kanunu
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Çalışan, Çalışan Adayı, Stajyer, Hissedar, Ziyaretçi
|
Fiziksel Mekan Güvenlik Bilgisi kapsamında kamera kayıtları
|
6698 s. Kişisel Verilerin Korunması Kanunu,
|
6 ay
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Çalışan,
Stajyer, Müşteri, Ziyaretçi
|
İşlem Bilgisi kapsamında IP adresleri, e-mail trafikleri izleme bilgisi
|
6698 s. Kişisel Verilerin Korunması Kanunu,
|
3 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Tablo 7-Süreç Bazında Saklama ve İmha Süreleri Tablosu
Süreç
|
Saklama Süresi
|
İmha Süresi
|
İnsan Kaynakları Süreçlerinin Yönetilmesi
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Şirket Yönetim ve İdaresi İşlemleri
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Şirketin Ticari Faaliyetleri
|
10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Sözleşmelerin Hazırlanması
|
Sözleşmenin sona ermesini
takiben 10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Şirketin İletişim Faaliyetlerinin İcrası
|
Faaliyetin sona ermesini
takiben 10 yıl
|
Saklama süresinin bitimini takip eden
ilk periyodik imha süresinde
|
Yönetmeliğin 11’inci maddesi gereğince BFF, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, BFF nezdinde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
- Politikanın Yayımlanması ve Saklanması
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da Veri Güvenliği Sorumlusu tarafından dosyasında saklanır.
- Politika’nın Güncellenme Periyodu
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
- Politikanın Yürürlüğü ve Yürürlükten Kaldırılması
Politika, BFF’nin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları BFF Yönetim Kurulu Kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Veri Güvenliği Sorumlusu tarafından saklanır.