KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Gold Harvest Kuruyemiş Gıda Ve Tarım Ürünleri Sanayi Ve Ticaret A.Ş. (“GOLD HARVEST A.Ş.”) tarafından hazırlanmıştır.

TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul:Kişisel Verileri Koruma Kurulu.

Periyodik İmha:Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İLKELER

GOLD HARVEST A.Ş. tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
• Saklama süresi mevzuatta belirlenmiş verilerin öngörülen sürelerden önce silinmesi mümkün değildir.
• Saklama süresi mevzuatta belirlenmemiş veriler, Şirket ile ilgili kişi arasındaki ilişkinin gereği olarak ve yapılan sözleşmede belirlenen süre boyunca saklanır. Bu ilişki sona erdikten sonra veya sözleşmede belirtilen süre geçtikten sonra veriler, veri işleme amaçlarının, işlenmesini gerektiren sebeplerin tamamının ortadan kalkması veya delil niteliği taşımaması hallerinde Şirket tarafından silinir, yok edilir veya anonim hale getirilir.
• Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi İşbu Politika’nın Kişisel Verileri Saklama ve İmha Süreleri bölümünde yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
• Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler GOLD HARVEST A.Ş. tarafından kayıt altına alınmakta ve söz konusu kayıtlar, hukuki yükümlülüklere uygun süre boyunca saklanmaktadır.
• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler GOLD HARVEST A.Ş. tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından GOLD HARVEST A.Ş.’ye başvurulması halinde;

       – İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,

      – Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Veri sahiplerine ait kişisel veriler, GOLD HARVEST A.Ş. tarafından Gizlilik Politikası’nda belirtilen amaçlar doğrultusunda özellikle (i) ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) yönetim faaliyetlerinin sürdürülebilmesi, (iv) veri saklama faaliyetinin yerine getirilebilmesi ve (v) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Kişisel verileri saklamayı gerektiren sebepler aşağıdaki gibidir:

• Sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle kişisel verilerin saklanması,
• Bir hakkın tesisi, kullanılması veya korunması amacıyla kişisel verilerin saklanması,
• Kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla GOLD HARVEST A.Ş.’in meşru menfaatleri için kişisel verilerin saklanmasının zorunlu olması,
• GOLD HARVEST A.Ş.’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla kişisel verilerin saklanması,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, GOLD HARVEST A.Ş. tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

İMHA YÖNTEMLERİ

GOLD HARVEST A.Ş. tarafından uygun olanı kullanılabilecek silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır:

Silme Yöntemleri

Yok Etme Yöntemleri

Anonimleştirme Yöntemleri

Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

GOLD HARVEST A.Ş., kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre sayılan anonimleştirme yöntemlerinden bir ya da birkaçını elindeki verinin niteliğine, büyüklüğüne, fiziki ortamlarda bulunma yapısına, çeşitliliğine, veriden sağlanmak istenen fayda ve işleme amacına, verinin işleme sıklığına, aktarılacağı tarafın güvenilirliğine, anonim hale getirilmesi için harcanacak çabanın anlamlı olmasına, anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü ve etki alanına, verinin dağıtıklık/ merkezilik oranına, kullanıcıların ilgili veriye erişim yetki kontrolüne, anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcanan çabanın anlamlı olma ihtimaline bakarak karar verir. GOLD HARVEST A.Ş., bu anonimleştirme yöntemlerini kullanırken K-Anonimlik (K-Anonymity), L-Çeşitlilik (L-Diversity) ve T-Yakınlık (T-Closeness) istatistik yöntemlerini kullanabilir.

SAKLAMA VE İMHA SÜRELERİ

GOLD HARVEST A.Ş. tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

• Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır,
• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

   – Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler şartları oluşmuşsa, delil niteliği taşımıyorsa imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının GOLD HARVEST A.Ş. nezdindeki önem derecesine göre belirlenir.

   – Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında GOLD HARVEST A.Ş.’nin meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

  – Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Saklama süresi dolan kişisel veriler, işbu Politika’nın ekinde yer alan imha süreleri çerçevesinde, altı (6) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle saklanır.

GOLD HARVEST A.Ş. tarafından verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi işlemiyle görevli personel listesi ile saklama ve imha sürelerine ilişkin tabloya işbu Politika’nın ekinden ulaşabilirsiniz. (EK-1 Personel Unvan, Birim ve Görev Listesi, EK-2 Kişisel Verileri Saklama ve İmha Süreleri )

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN USULLER, TEKNİK VE İDARİ TEDBİRLER

  Şirket tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dâhilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.

  Bu kapsamda Şirket tarafından aşağıda belirtilmiş idari ve teknik tedbirler alınmakta, kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun olarak hareket edilmektedir. Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, GOLD HARVEST A.Ş. tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Şifreleme yapılmaktadır.

POLİTİKANIN YÜRÜRLÜĞE SOKULMASI, GÜNCELLENMESİ, İHLAL DURUMLARI VE YAPTIRIMLAR

• İşbu Politika, Şirket Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girecektir ve yürürlüğü itibariyle tüm iş birimleri, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır. GOLD HARVEST A.Ş.; işbu politikaya ve KVKK kapsamındaki ilgili mevzuata uygunluğu, çalışanlar ve veri işleyenler nazarında her zaman resen denetleme hakkını haizdir.
• GOLD HARVEST A.Ş. bu Politikayı gözden geçirme ve gerekli durumlarda Politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir Politika oluşturma hakkını saklı tutar. Politika, olağan olarak yılda bir defa gözden geçirilir ve gerekirse güncellenir. Politikanın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Şirket Yönetim Kurulu’na aittir.

• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
• Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Şirket Yönetim Kurulu’na bilgi verilecektir.
• Politikaya aykırı davranan çalışan hakkında, Şirket Yönetim Kurulu tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

DEĞİŞİKLİK NOTLARI

EK-1 Personel Unvan, Birim ve Görev Listesi

EK-2 Kişisel Verileri Saklama ve İmha Süreleri

Kişisel veriler, Politika’nın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir :

 GOLD HARVEST A.Ş’nin ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise o süre uygulama alanı bulacaktır.