Veri Güvenliği ve Veri İmha Politikası

VIRA OSGB İŞÇİ SAĞLIĞI VE İŞ GÜVENLİĞİ HİZMETLERİ EĞİTİM DANIŞMANLIK TİCARET LTD. ŞTİ.

VERİ GÜVENLİĞİ VE VERİ İMHA POLİTİKASI

İşbu imha politikası Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. Şti. tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin tarafımızca uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda, şirketimiz bünyesinde kişisel verisi ve özel nitelikli kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

TANIMLAR VE KISALTMALAR Bu doküman içinde geçen tanımlar tabloda gösterildiği gibidir:

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. Şti.: Şirketimizi ifade eder. İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Vira OSGB ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi. Kanun/KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin Saklanması Şirketimiz bünyesinde tutulan kişisel veriler ve özel nitelikli kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında matbu ortamlarda veya yerel dijital ortamlarda tutulur.

Elektronik Ortamlar:

  • Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım vb.)
  • Yazılımlar
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme vb.)
  • Kişisel bilgisayarlar, mobil cihazlar
  • Optik diskler (CD, DVD vb.)
  • Çıkarılabilir bellekler (USB, Hafıza Kart vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi

Elektronik Olmayan Ortamlar:

  • Kağıt
  • Manuel veri kayıt sistemleri (anket formları, başvuru formları, ziyaretçi giriş defteri vb.)
  • Yazılı, basılı, görsel ortamlar

Saklamayı Gerektiren Sebepler İlgili kişiye ait veriler, şirketimizin faaliyetlerini sürdürebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, ilgili kişinin haklarının planlanması, sunulan hizmetlerin gerçekleştirilebilmesi, iş ortakları ile süreçlerin işletilebilmesi amacıyla fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanır.

Saklamayı gerektiren hukuki sebepler aşağıdaki gibidir:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • 4982 sayılı Bilgi Edinme Kanunu
  • 6098 sayılı Türk Borçlar Kanunu
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • 4857 sayılı İş Kanunu
  • 4721 Sayılı Medeni Kanun
  • 5237 sayılı Türk Ceza Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu

Ayrıca kişisel veriler,

  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için saklanmasının zorunlu olması,

Kişisel verilerin şirketin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması hukuki sebepleri ile de saklanmaktadır.

SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. Şti.’nin faaliyetleri çerçevesinde işlenecek kişisel verileriniz, 6698 Sayılı KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel verilerin işlenme şartları çerçevesinde hizmet alan kişi/çalışan/çalışan adayı/hizmet alan kişinin çalışanı/tedarikçi çalışanı/tedarikçi yetkilisi için kişisel veriler Aydınlatma Metinlerinde açıkça belirtilmekle birlikte;

  • Kimliği teyit etme
  • Danışmanlık hizmetlerinin sunulması
  • Hizmetlerin finansmanının planlanması ve yönetimi
  • Şirket tarafından sunulan hizmetten ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimleri tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi
  • Kamu sağlığının korunması
  • Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
  • Mevzuatta öngörülen saklama yükümlülüklerine uygunluğun sağlanması
  • İlgili kişi başvurularının mevzuata uygun olarak yanıtlanması ve gerekli işlemlerin gerçekleştirilmesi
  • İleride meydana gelmesi muhtemel olası uyuşmazlıklarda delil teşkil etmesi amacıyla kişisel verilerin genel zamanaşımı süresince saklanması
  • Talep ve şikayetlerin takibi ve yönetimi, memnuniyet çalışmalarının yürütülmesi
  • Hukuk işlerinin takibi ve yürütülmesi
  • Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin yürütülmesi
  • Araştırma yapılması
  • Provizyon alınması
  • Hizmetlerin finansmanı kapsamında özel sigorta şirketleri ile talep edilen bilgilerin paylaşılması
  • İlgili mevzuat uyarınca ilgili kamu kurum ve kuruluşları ile talep edilen bilgilerin paylaşılması
  • Sunulan hizmetlerin geliştirilmesi ve iyileştirilmesi amacıyla hizmetleri kullanımının analiz edilmesi ve verilerinizin saklanması
  • Anlaşmalı olduğumuz kurumlarla size sunulan hizmetlere ilişkin finansal mutabakat sağlanması
  • Hizmetlerin finansmanının planlanması ve yönetimi
  • Şirketin iç işleyişi ile günlük operasyonların planlanması ve yönetilmesi
  • Risk yönetimi ve kalite geliştirme faaliyetlerinin yerine getirilmesi
  • Hizmetlerin geliştirilmesi amacıyla değerlendirmelerde bulunma
  • Araştırma yapılması
  • Yasal ve düzenleyici gereksinimlerin yerine getirilmesi
  • Hizmetleriniz karşılığında ücret ödenmesinin sağlanması
  • Şirketin sistem ve uygulamalarının veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirlerin alınması
  • Çalışanların eğitimi ve geliştirilmesi
  • İlgili mevzuat gereği saklanması gereken verilere ilişkin bilgilerin muhafaza edilmesi
  • Finansal işlemlerin yerine getirilmesi
  • Yasal yükümlülüklerin taraflarca yerine getirilmesi
  • İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
  • Sayılan amaçlarla şirketin işleyişi ve hizmetlerinin yürütülmesi ve geliştirilmesi, çalışma şartlarının değiştirilmesi, finansmanının planlanması ve yönetimi, çalışan memnuniyetinin arttırılması
  • Tedarikçilerle gerekli iletişimin sağlanması
  • Sağlanacak mal ve/veya hizmetlerin tedariki için gerekli sözleşmelerin yapılması, tamamlanması ve yürütülmesi
  • İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
  • İhale, anlaşma ve benzer işlemler için yetkilendirme süreçlerinin yürütülmesi
  • İhale, anlaşma ve benzer işlemlerin gerçekleştirilmesi
  • Yasal ve düzenleyici gereksinimlerin yerine getirilmesi
  • Sağlanan mal ve/veya hizmetler karşılığında faturalandırma yapılması
  • Tarafınızca tedarik edilen mal ve/veya hizmete ilişkin iş ve işlemler ile kalitenin kontrolü
  • Tedarik faaliyetlerinin mevzuata uygun yürütülmesi
  • Tedarik sürecinin yürütülmesi
  • Tedarikçiler, üçüncü taraflar ve müşteriler arasında iletişim sağlanması
  • Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temin edilmesi
  • Suistimal ve yetkisiz işlemlerin izlenmesi, engellenmesi ve işlemlerin geri alınması

Amaçları ile elde edilmekte ve işlenmektedir.

UYGULANAN TEKNİK VE İDARİ TEDBİRLER

Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. Şti. tarafından kanunun 7’nci ve 12’nci maddesi göz önünde bulundurularak, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak veri saklamada ve imhada teknik ve idari tedbirler alınır.

Veri Güvenliği Tedbirleri:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Şifreleme yapılmaktadır.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

    KİŞİSEL VERİLERİN İMHASI

    İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

    Yönetmelik uyarınca, aşağıda sayılan hallerde kişisel veriler veya özel nitelikli kişisel veriler, Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. Şti. tarafından re’sen yahut ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir:

    • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
    • Açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
    • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
    • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
    • İlgili kişinin, hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi ya da kurulun gereğinin yapılması yönünde karar vermesi durumlarında kişisel veriler veya özel nitelikli kişisel veriler, silinir, yok edilir veya anonim hale getirilir.

    İMHA YÖNTEMLERİ

    Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. Şti., Kanuna ve sair mevzuat ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri ve özel nitelikli kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da re’sen siler, yok eder veya anonim hale getirir. Bu hususta ilgili kişi tarafından şirkete başvurulması halinde:

    • İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılır ve ilgili kişiye bilgi verilir,
    • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilir,
    • Durum, şartlar ve mevzuat gereği ilgili kişinin talep ettiği imha usulünün yerine başka bir imha usulünün kullanılması gerekmekteyse, durum ilgili kişiye verilecek cevapta açıklanarak, kullanılması lazım gelen usul ile imha gerçekleştirilir,
    • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

    Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri kendiliğinden silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilir.

    İlgili kişinin Kanun’un 11. maddesinde gösterilen hakları kapsamında yaptığı başvurularda verilecek cevaplar ücretsiz olarak karşılanır. Her ne kadar cevabın ücretsiz verilmesi temel ilke olsa da, verilecek cevabın ayrıca bir maliyet gerektirmesi durumunda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 7. maddesinde gösterilen ücretler şirket tarafından ilgili kişiden talep edilebilecektir.

    VERİ SAKLAMA VE İMHA SÜRELERİ

    VERİ SAKLAMA SÜRELERİ

    Vira OSGB, kişisel verileri ve özel nitelikli kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Öncelikle, ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uyulmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.

    Kişisel verilerin ve özel nitelikli kişisel verileri saklama şartlarının ortadan kalkması üzerine, ilgili kişinin talebi ile veya süresinin gelmiş olması durumunda periyodik imha süresinde verinin niteliğine göre uygun imha usulü ile imha edilir.

    VERİ KATEGORİSİ

    VERİ KATEGORİSİVERİ SAKLAMA SÜRESİ
    KİMLİK BİLGİLERİ (HİZMET ALAN KİŞİ, ÇALIŞAN VE TEDARİKÇİ YETKİLİSİ-ÇALIŞANI)10 YIL
    İLETİŞİM10 YIL
    İŞ KANUNU KAPSAMINDA SAKLANAN ÖZLÜK DOSYASINA İLİŞKİN BİLGİLER10 YIL
    HUKUKİ İŞLEM10 YIL
    MÜŞTERİ İŞLEM6 AY
    İŞLEM GÜVENLİĞİ2 YIL
    RİSK YÖNETİMİ6 AY
    MUHASEBE VE FİNANSAL İŞLEMLERE İLİŞKİN HER TÜRLÜ KAYITLAR10 YIL
    MESLEKİ DENEYİM2 YIL
    GÖRSEL VE İŞİTSEL KAYITLAR10 YIL
    SAĞLIK BİLGİLERİ10 YIL
    CEZA MAHKUMİYETİ VE GÜVENLİK TEDBİRLERİ10 YIL
    FATURA/GİDER PUSULASI / MAKBUZ GİBİ VERGİ USUL KANUNU UYARINCA TUTULMASI GEREKEN BELGELERLE İŞLENEN KİŞİSEL VERİLER5 YIL
    MÜŞTERİ BİLGİLERİNDEN, TTK 82 MADDESİ UYARINCA TİCARİ DEFTER VE KAYITLARA DAYANAK TEŞKİL EDEN FATURALARIN DÜZENLENMESİNE İLİŞKİN KİŞİSEL VERİLER10 YIL
    SÖZLEŞMELER10 YIL
    ÖLMÜŞ BİR KİŞİNİN KİŞİSEL VERİLERİEN AZ 20 YIL
    CV/ÖZGEÇMİŞ (İŞ BAŞVURUSU/STAJ BAŞVURUSU/BAŞVURU KABUL EDİLMEDİĞİ TAKDİRDE ADAY BAŞVURULARINA İLİŞKİN VERİLER)3 AY

    VERİ İMHA SÜRELERİ

    Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. Şti., Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri ve özel nitelikli kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

    İlgili kişi, Kanunun 13’ncü maddesi gereğince şirkete başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

    • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, Vira OSGB talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.
    • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

    PERİYODİK İMHA

    Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veya anonim hale getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğinin 11. maddesi gereğince periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir ve bu süre her halde altı ayı geçemez. Vira OSGB, periyodik imha süresi 4 ayda bir, yılda 3 kere olarak belirlemiştir.