Kişisel Verilerin Korunması (KVKK)

Kişisel Veri Saklama ve İmha Politikası

  1. VERİ GİZLİLİĞİ TAAHHÜDÜ

OFİS YEM GIDA SANAYİ TİCARET A.Ş. (0069007530600017 Mersis No) (Şirket/OFİSYEM) “Veri Sorumlusu” olarak bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.

  1. POLİTİKANIN AMACI

İşbu politikanın amacı, Şirket aktivitelerine ilişkin 6698 sayılı Kişisel Verilerin
Korunması Kanunu (‘KVKK’) kapsamında, kişisel verilerin korunmasına yönelik yöntem
ve süreçlere ilişkin esasları belirlemektir.

  1. POLİTİKANIN KAPSAMI

Şirketin temel faaliyet alanı, televizyon, tiyatro ve sinema gibi görsel sanatlar sektörüne ait ürün ve hizmet sağlanmasıdır. İş bu Politika, Şirket’in faaliyetlerinin devamı amacıyla her tür işleme
faaliyetini gerçekleştirdiği Kişisel Verilere yönelik tüm aktiviteleri kapsar ve söz konusu
aktivitelere uygulanır.


İşbu Politika, KVK Düzenlemelerinin gerektirmesi halinde yahut Şirketin Veri Sorumlusu
Temsilcisi yahut yönetimin gerekli gördüğü hallerde, kanuni yükümlülükleri gözetmek
koşuluyla zaman zaman değiştirilebilir.

  1. TANIMLAR

Açık Rıza

:

 Kişisel Veri Sahiplerinin verilerinin islenmesine dair bilgilendirilmeye dayalı olarak ve herhangi bir koşula bağlı olmaksızın, özgür iradeleriyle açıkladıkları rızayı

Kişisel Veri

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel Nitelikli Kişisel Veri

:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Veri Sahibi

:

Kişisel verisi işlenen gerçek kişiyi,

İmha

:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kişisel Verilerin İşlenmesi

:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kanun

:

07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Yönetmelik

:

28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini

Kurul

:

Kişisel Verileri Koruma Kurulunu

Kayıt ortamı

:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Verilerin İşlenmesi ve Korunması Politikası

:

İş bu yazılı metin ve OFİSYEM’in ayrıca oluşturduğu idari ve teknik tedbirler, iç yönerge ve yönetim kurulu kararları ve yasal mevzuat kapsamında şekillendirilen ve kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı,

Veri kayıt sistemi

:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,


ifade eder.



  1. KİŞİSEL VERİ İŞLENMESİ İLKELERİ

5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi

Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük
esasına dayalı olarak işlenir. Ölçülülük esası ile kast edilen, şirket faaliyetleri için
gerektiği kadar kişisel verinin, gerekli olan süre boyunca işlenmesidir.

5.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması

Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri
alır ve Veri Sahibinin Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili
Kişisel Verileri günceller.

5.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi

Kişisel Verilerin işlenmesinden önce şirket tarafından Kişisel Verilerin hangi amaçla
isleneceği belirlenir. Bu kapsamda, Veri Sahibi KVK Düzenlemeleri kapsamında
aydınlatılır ve gereken hallerde Açık Rızaları alınır.

5.4 Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Şirket, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında açık rıza gerekmeyen
hallerde ve/veya açık rıza alınması gerekli olan hallerde Veri Sahibinden alınan Açık
Rıza kapsamındaki amaç̧ doğrultusunda ve ölçülülük esasına uygun olarak işler.

5.5. Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi

Şirket, Kişisel Verileri işlenme amacına uygun olarak şirket aktiviteleri için
gerektiği kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde öngörülen veya
Kişisel Veri işleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel
Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde
belirtilen yükümlülüklere uygun davranır.


Kişisel Veri işleme amacının gerektirdiği süre sona erdikten sonra Kişisel
Veriler Silinir, Yok Edilir veya Anonim Hale Getirilir. İş bu halde, Şirketin Kişisel
Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut
Anonim Hale Getirmesi sağlanır.


Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri
Sorumlusu Temsilcisi sorumludur. Bu kapsamda gerekli prosedür Veri
Sorumlusu Temsilcisi tarafından oluşturulur.


  1. KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

OFİSYEM nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.


Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. OFİSYEM her halde veri sorumlusu sıfatıyla hareket etmekte ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak işlemek ve korumaktadır.


a) Matbu/basılı ortamlar

:

Verilerin kâğıt üzerine basılarak tutulduğu ortamlardır.

b) Yerel dijital ortamlar

:

OFİSYEM bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.

c) Bulut ortamlar

:

OFİSYEM’in kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır. 

 

6.1. Ortamların Güvenliğinin Sağlanması

OFİSYEM, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.


İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

6.1.1. Teknik Tedbirler

OFİSYEM, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır;


  • Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.

  • Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.

  • Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.

  • Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.

  • OFİSYEM bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere hizmet almaktadır.

6.1.2. İdari Tedbirler

OFİSYEM, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:


Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.

  • Kanunun 13. Maddesi kapsamında Veri Sahipleri tarafından Şirket’e yönelik yapılan tüm başvuru, talep ve şikayetlere karşılık Kişisel Veriler Komitesi tarafından inceleme yapılır ve en geç 30 gün içerisinde kabul ya da red gerekçesini açıklayarak yazılı olarak ya da elektronik ortamda Veri Sahibine dönüş sağlanmaktadır.

6.1.3. Şirket İçi Denetim

  • OFİSYEM, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.


  • Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.


  • Denetim sırasında ya da sair bir şekilde OFİSYEM sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, OFİSYEM bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

  1. KİŞİSEL VERİLERİN İMHASI

OFİSYEM bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.


OFİSYEM, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde veya ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.


OFİSYEM tarafından kullanılan bazı teknikler aşağıda sıralanmaktadır:

Karartma

:

Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.

Fiziksel yok etme

:

Matbu ortamda tutulan belgeler evrak imha makinesi, manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak tekrar bir araya getirilemeyecek şekilde yok edilir.

Dijital ortamdan silme

:

Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Gerektiğinde de-manyetize ve üzerine yazma yöntemi kullanılır. Kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.

Anonimleştirme

:

İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak ayırt edici nitelikte tanımlayıcıların çıkarılmasıdır.


Veri Sahibi, KVK Kanunun 13’ncü maddesine istinaden OFİSYEM’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;


  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; OFİSYEM talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.  


  1. OFİSYEM’in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. OFİSYEM, her halde yapılan işlemle ilgili kişiye bilgi verir.


  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep OFİSYEM tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.


Periyodik imha süreçleri her 6 (altı) ayda bir tekrar eder.

  1. SAKLAMA VE İMHA SÜRELERİ

VERİ SAHİBİ

VERİ KATEGORİSİ

VERİ SAKLAMA SÜRESİ

Çalışan, stajyer

Özlük dosyasında yer alan tüm bilgiler, lokasyon, biyometrik veriler

Hizmet akdinin takip eden takvim yıl yılbaşından itibaren de 10 (on) yıl

Hissedar/Ortak

Kimlik, iletişim, Finans vb

İş/ticari ilişkisi süresince ve sona ermesinden itibaren Kanunen daha fazla bir süre belirtilmemiş ise 10 (on) yıl

Ürün ya da hizmet alan/ veren kişi; yetkilisi, çalışanı

Kimlik, iletişim, Finans vb

İş/ticari ilişkisi süresince ve sona ermesinden itibaren Kanunen daha fazla bir süre belirtilmemiş ise 10 (on) yıl

Potansiyel Ürün veya Hizmet Alıcısı

Kimlik, iletişim,

Kanunen daha fazla bir süre belirtilmemiş ise 3 (Üç) yıl

Ziyaretçi

Fiziki mekâna girişte alınan kamera kayıtları vb

Kanunen daha fazla bir süre belirtilmemiş ise 6 (altı) ay süre ile saklanır.

İnternet Sitesi

İnternet Sitesi kullanıcılarına bilgileri

Kanunen daha fazla bir süre belirtilmemiş ise üyeliğin iptalinden itibaren 2 (iki) yıl

Çalışan Adayı

Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler

Kanunen daha fazla bir süre belirtilmemiş ise 6 (altı) ay süre


* Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.


OFİSYEM, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.

  1. KİŞİSEL VERİ KOMİTESİ

OFİSYEM bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.


Kişisel Veri Komitesi bir yönetici, bir VERBIS Temsilcisi ve ilgili departmanlardan birer üye olmak üzere 5 kişiden oluşur. Kişisel Veri Komitesinde görevli OFİSYEM çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:


ÜNVAN

 

GÖREV TANIMI

Kişisel Veri Komitesi Yöneticisi

:

Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamak

VERBİS Temsilcisi

:

Kişisel Veri Komitesi tarafından gerçekleştirilen uygulamaların gerektiğinde VERBIS’e aktarılması. Kişisel Verilere ilişkin veri sahiplerinden gelen taleplerin değerlendirilerek cevapların verilmesi süreçlerinin yürütülmesi

ÜYELER

:

Kişisel Veri Komitesi tarafından uygulanan, değerlendirilen ve karara bağlanan işlemlerin çalışanlarca yerine getirilmesi; işleme, saklama ve imha süreçlerinin denetimi ve bu denetimlerin gerektiğinde raporlanması


  1. GÜNCELLEME VE UYUM

OFİSYEM, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.