VI-ZA STAR TURİZM DENİZCİLİK TİCARET VE SANAYİ LİMİTED ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. Giriş
1.1. Amaç
İşbu Kişisel Veri Saklama ve İmha Politikası’nın (“Politika”) hazırlanma amacı; 6698 sayılı Kişisel Verilerin Korunması Kanununa (“Kanun”) uygun olarak işlenmiş olan kişisel verilerin, Kanun’un 4., 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının ortadan kalkması halinde, 28/10/2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca kişisel verilerin Vı-Za Star Turizm Denizcilik Ticaret ve Sanayi Limited Şirketi (“Şirket”) tarafından re’sen veya veri sahibinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi usullerinin gösterilmesidir.
1.2. Kapsam
İşbu Politika ile Şirketimiz nezdinde tutulan çalışanların, çalışan adaylarının, stajyerlerin, ziyaretçilerin, müşterilerin ve Şirketimizin faaliyet alanı sebebiyle elde edeceği sair kişilere ait özel nitelikli kişisel veriler de dahil olmak üzere her türlü kişisel verinin saklanmasını ve imhasına ilişkin kurallar düzenlenmiştir.
2. Tanımlar
Kavram |
Açıklama |
Açık Rıza
|
Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir. |
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturabildiği, okunabildiği, değiştirebildiği ve yazılabildiği ortamlar. |
Elektronik Olmayan Ortam |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortam anlamına gelir. |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişiler ifade eder. |
İmha |
Kişisel verilerin silinmesi veya yok edilmesi anlamına gelir. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. |
Kurul |
Kişisel Verileri Koruma Kurulu |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder. |
3 Sorumluluk Ve Görev Dağılımları
Şirketimizde, kişisel verilerin saklanma ve imhası süreçlerinde görev alan Kişisel Verileri Komitesi (“Komite”) üyelerinin unvanları ve görev tanımları, Tablo 1’de gösterilmiştir. Bu kişilerin haricinde, Hukuk Danışmanı ve IT danışmanı, doğrudan Komite’nin üyeleri olmamakla birlikte gerekli hal ve Komite toplantılarında mevcut bulunacaklardır.
Tablo 1: Komite’nin Görev Dağılımı
Unvan |
Görev |
Veri İşleyen |
Verilerin güvenliğini sağlamaktan, kişisel verileri mevuzata uygun olarak işlemek, saklamak ve gerektiğinde silmekten sorumludur. Kişilerin, verilerini istedikleri zaman erişmelerini sağlamaktan sorumludur.
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
Kişisel Verilerin Korunması Komitesi Üyesi |
Komite toplantılarına katılmaktan, veri korunmasına ilişkin operasyonel süreçlerde Hukuk Danışmanı ve IT Danışmanı ile bilgi akışını sağlamaktan, toplantılarda eğer incelecek ise Kurul kararlarının hazırlanmasından sorumludur.
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi süreçlerinde Veri İşleyen’e destek vermek ile yükümlüdür.
|
4 Kişisel Verilerin Saklandığı Kayıt Ortamları
Kişisel veriler, Politika’ ya uygun olarak, aşağıdaki tabloda belirtilen şekilde, Şirketimizce elektronik ve elektronik olmayan ortamlarda tutulur.
Tablo 2: Kişisel Veri Saklama Ortamları
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
• E-postalar • Yazılımlar • Şirket Bilgisayarları • Taşınabilir Bellek (USB bellekler, harici diskler vb.) |
• Birim Dolapları • Arşiv
|
5 Kişisel Verilerin İşlenmesine İlişkin Açıklamalar
Kanun’un 4. maddesi uyarınca kişisel veriler işlenirken, işlenmenin hukuka ve dürüstlük kuralına uygun, doğru ve (gerektiğinde) güncel, belirli, açık ve meşru amaçlar için yapılması ve işlendikleri amaçla bağlantılı olarak sınırlı, ölçülü ve mevzuat uyarınca öngörülen veya işlendikleri amaç için gerekli olacak kadar muhafaza edilmesi gerekir. Bu bağlamda, Kişisel verileriniz, Şirket tarafından Kanun’un 4. Maddesinde belirtilen ilkeler çerçevesinde ve Kanun’ un 5. maddesinin 2. Fıkrası ile 6. maddesinin 3. fıkrası uyarınca ilgili kişi tarafından Şirketimize verilen açık rıza ile sınırlı olmak üzere Şirket tarafından Aydınlatma Metni’nde ve Kişisel Veri İşleme Envanteri’nde belirtilen amaçlarla sınırlı olmak üzere işlenir.
5.1 Kişisel Verilerin İşlenmesini Gerektiren Hukuki Sebepler
Şirket tarafından işlenen kişisel veriler aşağıda belirtilen Kanun ve Yönetmeliklerde öngörülen sürelere uygun bir şekilde muhafaza edilir. Buna göre,
ile sınırlı olmak üzere Kanun ve Yönetmeliklerce belirtilen Şirketimizin yükümlü olduğu saklama süreleriyle sınırlı olmak üzere saklanmaktadır.
5.2 Kişisel Verilerin İşlenmesini Gerektiren Hukuki Kurallar
5.2.1 Kişisel Verilerin İşlenmesine İlişkin Kurallar
Kanun uyarınca var olan istisnai haller haricinde, Şirket ancak ilgili kişilerin açık rızasını temin etmek suretiyle kişisel veri işler. Kanun' da sayılan aşağıdaki hallerin varlığında, ilgili kişinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:
5.2.2 Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Kurallar
İlgili kişiler açısından korunmasının çeşitli sebeplerle daha fazla önem teşkil ettiği öngörülen özel nitelikli kişisel verilerin işlenmesine Şirket tarafından hassasiyet gösterilmektedir. Bu kapsamda, Kişisel Verilerin Korunması Kurumu tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, ilgili kişilerin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, mevzuatta öngörülen hallerde ilgili kişinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:
5.3 Kişisel Verilerin Aktarılması
5.3.1 Kişisel Verilerin Aktarılması
Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen kişinin açık rızasına dayalı olarak veya aşağıda sayılan, Kanun’ un 5. maddesi uyarınca kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olmak kaydıyla kişisel verileri üçüncü kişilere aktarır:
Belirtmek gerekir ki, hangi neden veya nedenlere dayanmasından bağımsız olarak, kişisel verilerin aktarım süreçlerinde daima kişisel verilerin işlenmesine dair genel ilkeler dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.
5.3.2 Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket, gerekli özeni gösterme, gerekli güvenlik tedbirlerini alma ve Kurum tarafından öngörülen yeterli önlemleri sağlama kaydıyla ve meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel verisi işlenen kişinin özel nitelikli verilerini, kişinin açık rızasına dayalı olarak veya aşağıdaki durumlarda üçüncü kişilere aktarmaktadır:
Belirtmek gerekir ki, hangi nedene dayanmasından bağımsız olarak, kişisel verilerin aktarım süreçlerinde daima kişisel verilerin işlenmesine dair genel ilkeler dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.
5.3.3 Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Şirket, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişinin açık rızasına dayalı olarak veya aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarmaktadır:
6 Aydınlatma Yükümlülüğü
Şirket, Kanun'un 10. ve 11. maddesine uygun olarak ilgili kişinin haklarını kendisine bildirmekte ve bu hakların nasıl kullanılacağı konusunda ilgili kişiye yol göstermektedir. Ayrıca Şirket, ilgili kişilerin haklarının değerlendirilmesi ve ilgili kişilere gereken bilgilendirmenin yapılması için Kanun'un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kanun' un 10. maddesi uyarınca kişilerin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilme esnasında aydınlatılması gerekmektedir. Aydınlatma yükümlülüğü çerçevesinde ilgili kişilere iletilmesi gereken bilgiler şunlardır:
Şirket, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen Kanun hükmü kapsamında ilgili kişilere sunulmak üzere aydınlatma beyanlar hazırlamıştır. Bu kapsamda Şirket’in web sitesinde (www.vizastar.com) herkesin erişimine açık olarak Aydınlatma Metni bulunmakla beraber, kişisel verilerin istenmesi halinde ilgili kişiye her zaman aydınlatma yapılarak kişisel verilerinin toplanması ve işlenmesinin amacı, hukuki dayanak ve sebepleri, toplanan ve işlenen kişisel verilerin içeriği ile kimlere ve hangi amaçlarla aktarılabileceği hususlarında bilgilendirme yapılmakta ve Kanun’dan doğan hukuki hakları hatırlatılmaktadır.
7 İdari ve Teknik Tedbirler
7.1 İdari Tedbirler
Kişisel verilerin belirtilen ortamlarda güvenli biçimde saklanması ile üçüncü kişiler tarafından hukuka aykırı olarak işlenmesinin önlenmesi için Şirket tarafından alınan idari tedbirler aşağıda sayılmıştır:
7.2 Teknik Tedbirler
Kişisel verilerin belirtilen ortamlarda güvenli biçimde saklanması ile üçüncü kişiler tarafından hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için Şirket tarafından alınan teknik tedbirler aşağıdaki gibidir:
8 Kişisel Verilerin İmhası
Kişisel verilerin imhasını gerektiren ortaya çıkması halinde, ilgili kişisel veriler, barındırdıkları özelliklere göre silinme veya yok edilme yöntemleri arasından en uygun görülen yöntem ile imha edilir. Her bir kişisel veri,
Hallerinden herhangi birinin gerçekleşmesi halinde, halin gerçekleşmesini takip eden ilk periyodik imha tarihinde Şirket tarafından re'sen veya ilgili kişinin talebi üzerine veya kanunen uygun ise derhal imha edilir.
8.1 Kişisel Verilerin Silinmesi
Yönetmelik uyarınca, kişisel verilerin silinmesi, "kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi" olarak tanımlanır. Şirket bünyesinde kişisel veriler, saklandıkları kayıt ortamlarına uygun biçimde silinir. Kişisel verilerin silinmesi süreci:
aşamalarından geçerek kişisel veriler silinir.
Fiziksel ortamda bulunan kişisel veriler, karartma yöntemi kullanarak silinir. İlgili evrak, belge veya kâğıt üzerindeki kişisel veriler gezilerek, boyanarak veya silinerek karartılır. Silinme işlemi sonrasında, sorumlu birim yöneticisi hariç kimse, bu verilere hiçbir şekilde erişilemez ve verilerin tekrar kullanılamaz olduğuna emin olunur.
Elektronik ortamda bulunan kişisel veriler ise, bulundukları ortamdan manuel olarak silinir.
8.2 Kişisel Verilerin Yok Edilmesi
Yönetmelik uyarınca, kişisel verilerin yok edilmesi "ilgili kişisel verinin hiç kimse tarafından ve hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmez" olarak tanımlanmaktadır.
Fiziksel ortamda bulunan kişisel veriler, fiziksel olarak yok edilmelidir. Fiziksel olarak yok etme işleminde ana ortamın yok edilmesi gerektiğinden, ilgili belge, kâğıt imha ve kırpma makineleri ile tekrar bir araya getirilemeyecek şekilde küçük parçalar haline getirilerek yok edilir.
Elektronik ortamda yer alan ancak fiziksel olarak yok edilmesi mümkün olmayan kişisel veriler, üzerine yazma ile silme şeklinde yok edilir.
9 Saklama ve İmha Süreleri
Şirket tarafından işlenen kişisel veriler aşağıdaki tabloda belirtilen süreler boyunca saklanır ve saklama süresinin bitimini takip eden ilk periyodik imha süresinde re’sen imha edilir. İlgili kişinin başvurusu durumunda Şirket tarafınca yapılacak hukuki değerlendirmenin ardından ilgili kişinin kişisel verileri derhal imha edilir. Kişisel verilerin silinmesi ve yok edilmesi ile ilgili yapılan bütün işlemler Şirket tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere üç yıl saklanır.
Tablo 3: Kişisel Verilerin Saklanma ve İmha Süreleri
Kişisel Veri |
Saklama Süresi |
İmha Süresi |
Kimlik |
İşlenmesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Pasaport Bilgileri |
İşlenmesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Eğitim Bilgileri |
İşlenmesinden itibaren Çalışan: 10 yıl Çalışan Adayı: 2 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Özlük |
İlgili kişinin işten ayrıldığı tarihi takip eden takvim yılı başından itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İletişim Bilgileri |
İşlenmesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hukuki İşlem |
İşlenmesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Müşteri/ Tedarikçi İşlemi |
İşlenmesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Fiziksel Mekân Güvenliği (Kamera Kaydı) |
İşlenmesinden itibaren 30 gün |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Banka Bilgileri |
İşlenmesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mesleki Deneyim |
İlgili kişinin işten ayrıldığı tarihi takip eden takvim yılı başından itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Görsel ve İşitsel Kayıtlar |
İşlenmesinden itibaren 2 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sağlık Bilgileri |
İlgili kişinin işten ayrıldığı tarihi takip eden takvim yılı başından itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ceza Mahkumiyeti ve Güvenlik Tedbiri |
İlgili kişinin işten ayrıldığı tarihi takip eden takvim yılı başından itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
10 Periyodik İmha Süresi
Kanunda ve işbu Politikada yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirketimiz Yönetmeliğin 11 inci maddesi gereğince 6 ay aralıklarla re’sen gerçekleştirilecek bir işlemle siler veya yok eder. Buna göre, Şirketimizde işbu politikanın yürürlük tarihinden başlamak üzere her yıl Ocak ve Temmuz aylarında periyodik imha işlemi gerçekleştirilir.
11 Politikanın Sürdürülebilirliğinin Sağlanması, Denetimi ve Eğitim Faaliyetleri
11.1 Sürekli İyileştirme ve Denetim Faaliyetleri
Şirket, kişisel verilerin korunması ve yönetimi sisteminin uygunluğunu, doğruluğunu ve etkinliğini sürekli olarak iyileştirir ve gerekli önleyici faaliyetleri gerçekleştirir.
Şirket, varsa uygunsuzlukların veya potansiyel uygunsuzlukların belirlenmesini, düzeltici faaliyetlerin ve sürekli iyileştirmenin hayata geçirilmesini ve etkinliğinin değerlendirilmesini sağlar. Düzeltici faaliyetler kapsamında yapılan sürekli iyileştirmeler problemin büyüklüğü ile orantılıdır. Uygunsuzlukların veya potansiyel uygunsuzlukların ortadan kaldırılması hedeflenir.
Şirket’te, kişisel verilerin güvenliği sistemi ile ilgili varsa uygunsuzlukların veya potansiyel uygunsuzlukların saptanmasa: halinde Genel İdare Müdürlüğüne aktarılmasından tüm çalışanlar sorumludur.
Birlik, kişisel verilerin korunması amacıyla kurmuş olduğu yönetim sisteminin performansın ve etkinliğini değerlendirmek atma iç denetim faaliyetlerini, iç Tetkik Prosedürü doğrultusunda gerçekleştirir.
Kişisel veri yönetim sisteminin sürekliliği, uygunluğu, yeterliliği ve etkinliği konusu senede bir defa düzenlenen Yönetim Gözden Geçirme Toplantısında ele alınır.
11.2 Eğitim Faaliyetleri
Şirket, her yıl düzenli olarak çalışanlarda farkındalığı arttırmak için eğitim düzenler. Yeni işe başlayan personellerin oryantasyon eğitimlerinde Kanun farkındalık eğitimine de yer verilir.
12 Politikanın Güncelleme Periyodu
İşbu Politika Şirket tarafından ihtiyaç duyuldukça gözden geçirilerek güncellenebilir. Politika ’nın fiziki bir kopyası ise Komite tarafından saklanır.
Politika’nın Kanun veya sair mevzuat ile çelişkili olduğu hal ve durumlarda, Kanun ve ilgili mevzuat hükümleri uygulanır.
13 Politikanın Yürürlük Tarihi
İşbu Politika, Şirket’in internet sitesinde (www.vizastar.com) yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
Yayımlanma tarihi: 20/04/2024