Kurumsal

KVKK Politikamız

image

AMAÇ

Simya Makina; Stratejik planda belirlenen misyon, vizyon ve temel ilkeler doğrultusunda; firma çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, bu doğrultuda hazırlanmış olan politikaya uygun olarak gerçekleştirilir.

KAPSAM

Simya Makina çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamında olup firmanın sahip olduğu ya da firmaca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu politika uygulanır.

SORUMLULUKLAR

Simya Makina’nın tüm birimleri ve çalışanları, sorumlu birimlerce politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

KAYIT ORTAMLARI

 

Elektronik Ortam

  1. Sunucular (Etki alanı, e-posta, web, dosya paylaşımı vb.)
  2. Yazılımlar (Ofis programları, Çizim programları vb.)
  3. Bilgi güvenliği cihazları (Güvenlik duvarı, günlük kayıt dosyası, antivirüs vb.)
  4. Kişisel Bilgisayarlar
  5. Mobil Cihazlar
  6. Çıkarılabilir Bellekler (USB)
  7. Yazıcı, tarayıcı

Elektronik Olmayan Ortam

  1. Kağıt
  2. Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri vb.)
  3. Yazılı, baskılı görsel ortamlar

 

SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Simya Makina tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Kanunun 3’üncü maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış, 4’üncü maddesinde işlenen kişisel verinin “lendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi” gerektiği belirtilmiş, 5 ve 6’ncı maddelerde ise “kişisel verilerin işleme şartları” sayılmıştır.

Buna göre, firmamızın faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

Saklamayı Gerektiren Hukuki Sebepler

  1. 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  2. 6098 sayılı Türk Borçlar Kanunu,
  3. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  4. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  5. 5018 sayılı Kamu Mali Yönetimi Kanunu,
  6. 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
  7. 4982 Sayılı Bilgi Edinme Kanunu,
  8. 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  9. 4857 sayılı İş Kanunu,
  10. 2828 sayılı Sosyal Hizmetler Kanunu
  11. İşyeri    Bina    ve    Eklentilerinde    Alınacak    Sağlık   ve   Güvenlik    Önlemlerine    İlişkin Yönetmelik,
  12. Arşiv Hizmetleri Hakkında Yönetmelik

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

Saklamayı Gerektiren İşletme Amaçları

Firmamız, yaptığımız faaliyetler çerçevesinde işlemekte olduğumuz kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  1. İnsan kaynakları süreçlerini yürütmek.
  2. Kurumsal iletişimi sağlamak.
  3. Firmamızın güvenliğini sağlamak,
  4. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
  1. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
  2. Firmamız ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
  3. Yasal raporlamalar yapmak.
  4. İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

İmhayı Gerektiren Sebepler

  1. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
  2. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  3. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  4. Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun firma tarafından kabul edilmesi,
  5. Firmanın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde,
  6. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

Kişisel veriler bu durumlarda, firma tarafından ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

TEKNİK VE İDARİ TEDBİRLER 

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde firmamız tarafından teknik ve idari tedbirler alınır.

Teknik Tedbirler 

  1. Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  2. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve

yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

  1. Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  2. Firmamız, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  3. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  4. Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  5. Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  6. Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  7. Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  8. Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
  9. Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  10. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

 

İdari Tedbirler

  1. Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
  2. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
  3. Kişisel veri işlemeye başlamadan önce firmamız tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  4. Kişisel veri işleme envanteri hazırlanmıştır.
  5. Firmamız içerisinde periyodik ve rastgele denetimler yapılmaktadır.
  6. Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

 

KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, firma tarafından veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

    1. Kişisel Verilerin Silinmesi 

VERİ KAYIT ORTAMI

AÇIKLAMA

 

Sunucularda Yer Alan Kişisel Veriler

Sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

 

Elektronik    Ortamda    Yer    Alan    Kişisel Veriler

Veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

Fiziksel Ortamda Yer Alan Kişisel Veriler

Evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

 

Taşınabilir    Medyada    Bulunan    Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel veriler sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.


    1. Kişisel Verilerin Yok Edilmesi

 

VERİ KAYIT ORTAMI

AÇIKLAMA

 

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kağıt ortamında yer alan kişisel veriler kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

 

Optik/Manyetik      Medyada     Yer     Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.



    1. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.