KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Bu politikanın amacı, Bugamed Biyoteknoloji Sanayi ve Ticaret Anonim Şirketi tarafından kişisel verilerin saklanması ve imhasına ilişkin esasları belirlemektir.
I. AMAÇ
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Bugamed Biyoteknoloji Sanayi ve Ticaret Anonim Şirketi (“Bugamed”) tarafından işlenen kişisel verilerin saklanması ve imhasına yönelik iş ve işlemlere ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.
II. KAPSAM
Bugamed çalışanlarının, çalışan adaylarının, portal üzerinden hizmet veya ürün satın alan müşterilerin, portalı ziyaret eden kişilerin işlenen kişisel verileri bu Politika kapsamındadır.
Veri Sorumlusu sıfatıyla kişisel verilerin işlendiği tüm kayıt ortamlarında ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
III. TANIMLAR
| Terim | Tanım |
|---|---|
| Alıcı grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
| Açık rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
| Anonim hale getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
| Çalışan | Bugamed Biyoteknoloji Sanayi ve Ticaret A.Ş. personeli. |
| Elektronik ortam | Kişisel verilerin elektronik aygıtlarla oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
| Elektronik olmayan ortam | Elektronik ortamların dışında kalan yazılı, basılı, görsel vb. diğer ortamlar. |
| Hizmet sağlayıcı | Şirket ile sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. |
| İlgili kişi | Kişisel verisi işlenen gerçek kişi. |
| İlgili kullanıcı | Verilerin teknik depolanması/korunması/yedeklenmesinden sorumlu olanlar hariç, veri sorumlusunun talimatıyla kişisel verileri işleyen kişiler. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
| Kayıt ortamı | Otomatik/otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
| Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Kişisel veri işleme envanteri | İş süreçlerine bağlı işleme faaliyetlerinin; amaç, hukuki sebep, veri kategorisi, alıcı grubu, kişi grubu, saklama süresi, aktarım ve güvenlik tedbirleriyle ilişkilendirilerek açıklandığı envanter. |
| Kişisel verilerin işlenmesi | Toplama, kaydetme, depolama, saklama, değiştirme, açıklama, aktarma, elde edilebilir kılma, sınıflandırma veya kullanımı engelleme gibi işlemler. |
| Kurul | Kişisel Verileri Koruma Kurulu. |
| Özel nitelikli kişisel veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din/mezhep, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri, biyometrik ve genetik veriler. |
| Periyodik imha | Kanunda yer alan işleme şartlarının tamamının ortadan kalkması hâlinde, politikada belirtilen aralıklarla resen yapılacak silme/yok etme/anonimleştirme işlemi. |
| Veri işleyen | Veri sorumlusunun yetkisine dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi. |
| Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
| Veri sorumlusu | İşleme amaç ve vasıtalarını belirleyen; sistemin kurulması ve yönetiminden sorumlu gerçek/tüzel kişi. |
| VERBİS | Veri Sorumluları Sicil Bilgi Sistemi. |
| Yönetmelik | 28.10.2017 tarihli Resmî Gazetede yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”. |
IV. SORUMLULUK VE GÖREVLER
Şirketin tüm çalışanları ve birimleri; kişisel verilerin hukuka uygun elde edilmesi, işlenmesi ve saklanması konusunda sorumlu birimlere tam ve aktif destek verir. Politika kapsamındaki idari ve teknik tedbirlerin uygulanması, eğitim, farkındalık, izleme, hukuka aykırı erişimin önlenmesi ve muhafaza süreçlerinde tüm çalışanlar sorumlu birimlere destek olur.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvan/birim/görev dağılımı EK TABLO 1’de gösterilmiştir.
V. KAYIT ORTAMLARI
Kişisel veriler, EK TABLO 2’de listelenen ortamlarda hukuka uygun ve güvenli şekilde muhafaza edilir.
VI. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
- Sözleşmelerin kurulması/ifası ile doğrudan ilgili olması,
- Bir hakkın tesisi, kullanılması veya korunması,
- Kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatlerin gerektirmesi,
- Hukuki yükümlülüklerin yerine getirilmesi,
- Mevzuatta açıkça öngörülmesi,
- Açık rıza gerektiren hallerde ilgili kişinin açık rızasının bulunması.
VII. SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
- İK süreçlerinin yürütülmesi,
- Kurumsal iletişim ve şirket güvenliği,
- İstatistiksel çalışmalar, sözleşme/protokol ifası,
- Hukuki yükümlülüklerin yerine getirilmesi ve yasal raporlamalar,
- İş ilişkisindeki taraflarla irtibat, çağrı merkezi süreçlerinin yönetimi,
- Hukuki uyuşmazlıklarda delil, şirket hukuk işlerinin icrası/takibi.
VIII. İMHAYI GEREKTİREN HUKUKİ SEBEPLER
- İşleme esas mevzuat hükümlerinin değişmesi/kaldırılması,
- İşleme/saklama amacının ortadan kalkması,
- Yalnızca açık rızaya dayalı işleme hallerinde rızanın geri alınması,
- KVKK m.11 kapsamındaki başvurunun kabul edilmesi,
- Azami saklama süresinin dolması ve daha uzun saklamayı haklı kılan şartın olmaması.
IX. KİŞİSEL VERİLERİN SİLİNMESİ YÖNTEMLERİ
Kişisel veriler EK TABLO 3’te belirtilen yöntemlerle silinir.
X. KİŞİSEL VERİLERİN YOK EDİLMESİ YÖNTEMLERİ
Kişisel veriler EK TABLO 4’te belirtilen yöntemlerle yok edilir.
XI. SAKLAMA VE İMHA SÜRELERİ
Yasal mevzuatta belirlenmiş süreler öncelikle uygulanır; aksi halde EK TABLO 5 esas alınır.
XII. PERİYODİK İMHA SÜRESİ
Şirket, her yıl Aralık ayında saklama sürelerini kontrol eder; süresi biten kişisel veriler, bitimi izleyen 180 gün içinde imha edilir.
XIII. YÜRÜRLÜK
Politika, şirket internet sitesinde yayınlandığı anda yürürlüğe girer. Yürürlükten kaldırılmasına karar verilmesi hâlinde ıslak imzalı eski nüshalar iptal edilerek en az 5 yıl süreyle saklanır.
EK TABLO 1 – Saklama ve İmha Süreçleri Görev Dağılımı
| Unvanı | Görevi |
|---|---|
| Yönetim Kurulu Başkanı | Çalışanların politikaya uygun davranmasından sorumludur. |
| Yönetim Kurulu Başkanı | Politikanın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden sorumludur. |
| Yönetim Kurulu Başkanı | Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
EK TABLO 2 – Kişisel Veri Saklama Ortamları
| Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
|---|---|
| Bilgisayarlar, Mobil cihazlar, Optik diskler, Yazıcılar/tarayıcılar/fotokopiler, Çıkarılabilir bellekler, Sunucular, Yazılımlar, Bilgi güvenliği cihazları | Kağıtlar, Yazılı ve basılı ortamlar, Görsel kayıtlar, Manuel veri kayıt sistemleri |
EK TABLO 3 – Kişisel Verilerin Silinmesi Yöntemleri
| Veri Kayıt Ortamı | Silinme Yöntemi |
|---|---|
| Sunucular | İlgili kullanıcıların erişimi kaldırılarak sistem yöneticisi tarafından silinir. |
| Elektronik ortam | Veritabanı yöneticisi hariç diğer çalışanlar için erişilemez ve tekrar kullanılamaz hâle getirilir. |
| Fiziksel ortam | Arşiv sorumlusu dışındakilere erişilemez; ayrıca üzeri kalıcı şekilde karartılır. |
| Taşınabilir medya | Şifrelenir; anahtarlar güvenli ortamda saklanır ve erişim yalnızca sistem yöneticisine verilir. |
EK TABLO 4 – Kişisel Verilerin Yok Edilmesi Yöntemleri
| Veri Kayıt Ortamı | Yok Edilme Yöntemi |
|---|---|
| Fiziksel ortam | Evrak imha makinelerinde geri döndürülemeyecek şekilde yok edilir. |
| Optik/manyetik medya | Eritme, yakma, toz hâline getirme veya yüksek manyetik alana maruz bırakma yoluyla okunamaz kılma. |
EK TABLO 5 – Saklama ve İmha Süresi Tablosu
| Süreç | Saklama Süresi | İmha Süresi |
|---|---|---|
| İş sağlığı ve güvenliği uygulamaları | İş ilişkisinin bitiminden itibaren 15 yıl | Saklama süresinin bitimini takiben 180 gün |
| Bordrolama | İş ilişkisinin bitiminden itibaren 10 yıl | 180 gün |
| Personel mahkeme/adliye talepleri | İş ilişkisinin bitiminden itibaren 10 yıl | 180 gün |
| Eğitim kayıtları | Eğitimin düzenlenmesinin ardından 10 yıl | 180 gün |
| Log kayıt takip sistemleri | Oluşturulmasından itibaren 5 yıl | 180 gün |
| Kamera kayıtları | Kaydedilmesinden itibaren 1 yıl | 180 gün |
| Müşteri verileri | Kaydedilmesinden itibaren 10 yıl | 180 gün |
