COMPANY

KVKK
1. POLİTİKANIN AMACI

Bu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve bu kanuna dayanılarak çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) gereği kişisel verilerin saklanması, anonimleştirilmesi ve silinmesi konularında, başta kişisel verilerin işlendikleri amaç için gerekli olan azami sürelerin tespiti ile verilerin anonimleştirilmesi, silinmesi ve yok edilmesi süreçlerini düzenlemek olmak üzere, öngörülen yükümlülüklerin yerine getirilmesi ve bu konularda ilgili kişilerin bilgilendirilmesi amacıyla veri sorumlusu sıfatıyla ERKAL Uluslararası Nakliyat ve Tic. A.Ş (TUZLA SHIPYARD) tarafından hazırlanmıştır.

2. TANIMLAR

Active Directory: Kullanıcıların domain ortamına bağlanıp tek bir merkezden yönetilmesini sağlar.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

Arşiv Dolapları: Şirketteki her bir birimin tamamlanmış ve arşivlenmiş faaliyetleri için tuttukları fiziki klasörlerin muhafaza edildiği dolapları,

Birim Dolapları: Şirketteki her bir birimin aktif faaliyetleri için tuttukları fiziki klasörlerin muhafaza edildiği dolapları,

Exchange Server: Active Directory’e bağlı kullanıcıların mail hesaplarının yönetilmesini sağlar.

File Server: Kullanıcıların Masaüstü, Belgeler, Favoriler gibi sık kullanılan dosyalarının merkezi bir yerden yönetilmesini sağlar.

Firewall: Şirket dışından gelebilecek saldırıları önlemek ve kullanıcıların bu tür saldırılara maruz kalmaması için hem mail hem de internet alanında güvenlik sağlayan donanımsal bir cihazdır. Ayrıca internet erişim kısıtlamaları da bu cihaz üzerinden ayarlanmaktadır.

Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Veri Saklama Tablosu: Kişisel verilerin Şirket bünyesinde saklanacağı süreleri gösteren tabloyu,

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Logo Yazılım: Muhasebe departmanının muhasebe işlerini kontrol ettiği ve verilerini girdikleri yazılım.

Model ERP: Şirket bünyesinde malzeme talep , Pdks , ISG , PBS vb. işlerin yürütülmesi için kullanılan otomasyon yazılımı.

Open Scappe Business X8 (Santral Cihazı): Santral hattını arayan numaraların bilgisinin tutulduğu kayıt ortamını,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Şirket: ERKAL Uluslararası Nakliyat ve Tic. A.Ş (TUZLA SHIPYARD)

Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Yazıcı Arayüzü: Yazıcı kullanım bilgisinin kaydedildiği yazıcı birimini,

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği ifade eder.

3. KAYIT ORTAMLARI

Bu politikanın uygulanmasında kayıt ortamları kişisel verilerin bulunduğu her türlü ortam anlamına gelmektedir. Şirket, işlediği kişisel verileri başta Kişisel Verileri Koruma Kanunu olmak üzere ilgili mevzuata uygun olarak ve veri güvenliğine ilişkin en güncel tedbirleri almak suretiyle aşağıdaki kayıt ortamlarında saklamaktadır.

Bu bağlamda Şirketteki kayıt ortamları:

  1. - Birim Dolapları,
  2. - Arşiv Dolapları,
  3. - Active Directory
  4. - File Server,
  5. - Yazıcı Arayüzü,
  6. - Exchange Server,
  7. - Firewall,
  8. - Model ERP,
  9. - Logo Yazılım,
  10. - Open Scappe Business X8 (Santral Cihazı),
4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLER

a) İlgili kişilere ait kişisel veriler, Şirket tarafından aşağıda belirtilen amaçlarla işlenebilir:

Çalışanlar

Şirket tarafından toplanan kişisel verileriniz işe uygunluğun değerlendirilmesi, özlük dosyası oluşturulması, SGK girişinin yapılması, iletişim faaliyetlerinin yürütülmesi, hukuki taleplerin yöneltilebilmesi, işten ayrılırken çalışma belgesinin düzenlenebilmesi, aile durum bildiriminin kontrolü, maaş ve diğer ödemelerin yapılması, izin haklarının takibi, işverenin muhtemel davalarda delil olarak kullanabilmesi, hukuki yükümlülük gereği personelden imza almak, davaların takibi, icra kararlarının uygulanabilmesi, işe uygun kıyafet temini, AGİ ödemesi yapılması, ücret politikasının belirlenmesi, performans değerlendirmesi, SGK’ya bildirim yapılması, İŞKUR’a bildirim yapılması, çalışanların sağlığını ve meslek hastalıklarını takip etmek, çalışanların liman giriş izinlerinin alınması, tehlikeli işler sınıfı tersanelere giriş izinlerinin alınması, mesai takibinin yapılması, muhasebe işlerinin yürütülmesi, işten ayrılan personelin ibra sözleşmesinin muhasebeleştirilmesi, bilgisayar kullanımının takibi, yazıcı kullanımının takibi, mail yoluyla yürütülen işlerin geçmişe yönelik takibi, internet güvenliğinin sağlanması, genel güvenliğin sağlanması, İSG mevzuatı kapsamında işe uygunluğun tespiti, İSG eğitimlerine katılımın tespiti, İSG cezalarının uygulanması, çalışan temsilcisi seçimlerine katılımın tespiti, kaza tespit tutanağının oluşturulması ve operatörleri için operatör belgesinin sorgulanabilmesi amaçlarıyla işlenmektedir.

Çalışan Adayları:

Şirket tarafından toplanan kişisel verileriniz işe uygunluğun değerlendirilmesi ve iletişimin sağlanması amaçlarıyla işlenmektedir.

Hizmet Alınan Kişiler:

Şirket tarafından toplanan kişisel verileriniz, iletişim faaliyetlerinin yürütülmesi, mal ve hizmet satın alım süreçlerinin yürütülmesi ve muhtasar beyanname düzenlenmesi amacıyla işlenmektedir.

Müşteriler:

Şirket tarafından toplanan kişisel verileriniz iletişimin kurulması, vize işlemlerinin yürütülmesi ile tersane ve limanlara giriş izinlerinin alınabilmesi amacıyla işlenmektedir.

Alt yüklenici firma çalışanları:

Şirket tarafından toplanan kişisel verileriniz işe uygunluğun değerlendirilmesi, SGK kaydının kontrolü, alt yüklenici firma çalışanlarının maaş ödemelerinin kontrolü, iletişim faaliyetlerinin yürütülmesi, performans değerlendirmesi, çalışanların sağlığını ve meslek hastalıklarını takip etmek, acil durumlarda müdahale etmek, liman giriş izinlerinin alınması, tehlikeli işler sınıfı tersanelere giriş izinlerinin alınması, mesai takibinin yapılması, genel güvenliğin sağlanması, İSG mevzuatı kapsamında işe uygunluğun tespiti, İSG eğitimlerine katılımın tespiti, İSG cezalarının uygulanması, çalışan temsilcisi seçimlerine katılımın tespiti, kaza tespit tutanağının oluşturulması ve operatörleri için operatör belgesinin sorgulanabilmesi amaçlarıyla işlenmektedir.

Sahaya inen firma sahipleri ve çalışanları; yabancı uyruklu gemi çalışanları ve ziyaretçiler:

Şirket tarafından toplanan kişisel verileriniz giriş çıkış kontrolünü ve genel güvenliği sağlama amacıyla işlenmektedir.

Kiracılar:

Şirket tarafından toplanan kişisel verileriniz kira sözleşmesinin kurulması ve muhasebe işlerinin yürütülmesi amacıyla işlenecektir.

Santral:

Şirket tarafından toplanan kişisel verileriniz iletişimin kurulması amacıyla işlenmektedir.

b) Yönetmelik uyarınca, aşağıda sayılan hallerde ilgili kişilere ait kişisel veriler, Şirket tarafından re ’sen yahut talep üzerine silinir veya yok edilir:

a. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

b. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

Kanun’un 5 ve 6 maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

d. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

e. İlgili kişinin, kişisel verilerinin silinmesi veya yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

f. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

g. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

5. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLAMA VE HUKUKA UYGUN İŞLEME İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

a) Teknik Tedbirler:

  • Teknik konularda bilgili personel istihdam edilmektedir.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
  • Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
  • Sophos Firewall ile dışarıdan içeriye gelebilecek DDOS , IPS attack , Mail Phishing gibi saldırılar önlenmektedir.
  • Firewall dan kaçabilecek olası tehditler Local’de kurulu olan Sophos Antivirüs sayesinde önlenmektedir.
  • Kullanıcıların çalışma dosyalarını koruma amaçlı ve veri kaybını önleyebilmek adına kullanıcıların bilgisayarlarındaki profiller FILE sunucusuna yönlendirilmektedir. Böylelikle fiziki veya soft zararlar da engellenmiş olmaktadır.
  • Maillerde bir problem yaşanmaması ve kullanıcıların bilerek veya sehven sildiği mailleri kurtarabilmek adına gelen ve giden maillerin birer kopyaları iki adet mailbox’a atılarak yedeklenmektedir.
  • Bu iki adet mailbox’un ise Exclaimer Email Archiver ile başka bir lokasyona yedeği alınmaktadır.
  • Yukarıdaki yedekleme işlemlerine ek olarak aynı işlemler FILE, MUHSRV- TKTUZLA-MUH sunucusundaki kullanıcı dosyaları için de yapılmaktadır. Silinen veya yok edilen dosyalar için ilk etapta Microsoft’un Shadow Copy özelliği kullanılmakta, burada bir problem yaşanması durumunda ise farklı lokasyonlara yedeklenen TKVEEAM ve DSRVEEAM sunucularındaki VEEAM yazılımı ile hem günlük hem de 3 saat aralığındaki dosyalar geri döndürülebilmektedir. VEEAM sayesinde maillerin de geri döndürülmesi mümkün olmaktadır.

b) İdari Tedbirler

  • Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi ve saklanması konusunda bilgilendirilmekte ve eğitilmektedir.
  • Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte; Şirket ile çalışanlar arasındaki sözleşmelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır.
6. KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
  • Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak imha edilmesi konusunda bilgilendirilmekte ve eğitilmektedir.
  • Kişisel Veri Envanterinde kayıtlı olan Kişisel verileri imha edecek personel belirlenmiştir.
  • Şirket bünyesinde gerçekleştirilen kişisel veri saklama ve imha faaliyetleri denetlenmektedir.
  • Alınan teknik önlemler ilgilisine raporlanmaktadır.
  • Teknik konularda bilgili personel istihdam edilmektedir.
7. KiŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN KULLANILAN YÖNTEMLER

a. Kişisel Verilerin Silinmesi Yöntemleri

i. Kağıt Ortamında Bulunan Kişisel Veriler: Karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

ii. Merkezi Sunucuda Yer Alan Ofis Dosyaları: İşletim sistemindeki silme komutu ile silinir.

b. Kişisel Verilerin Yok Edilmesi Yöntemleri

i. Yerel Sistemlerde Bulunan Kişisel Veriler: Fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.

ii. Çevresel Sistemlerde Bulunan Kişisel Veriler: Veri kayıt ortamı sabit olan yazıcı, güvenlik kameraları gibi çevre birimleri: fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.

8. SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN GÖREVLİLER
SÜREÇ SORUMLUSU GÖREV SORUMLULUK
İdari İşler Müdürü Güvenlik, Santral, Üretim, Planlama- Kişisel Veri Saklama ve İmha Politikası Uygulama Sorumlusu Görevli olduğu bölümün işlediği verilerin, işbu veri aklama ve imha politikasındaki saklama süresine uygunluğunun sağlanması ve periyodik imha dönemlerinde kişisel veri imha sürecinin yönetimi.
İnsan Kaynakları Müdürü İnsan Kaynakları Departmanı- Kişisel Veri Saklama ve İmha Politikası Uygulama Sorumlusu
Muhasebe Müdürü Mali İşler Departmanı - Kişisel Veri Saklama ve İmha Politikası Uygulama Sorumlusu
Bilgi İşlem Müdürü Bilgi İşlem Departmanı - Kişisel Veri Saklama ve İmha Politikası Uygulama Sorumlusu
İş Sağlığı ve Güvenliği Büro Amiri İSG Amirliği – Kişisel Veri Saklama ve İmha Politikası Uygulama Sorumlusu
Finans Müdürü Finans Departmanı - Kişisel Veri Saklama ve İmha politikası Uygulama Sorumlusu
PDKS Müdürü PDKS Departmanı - Kişisel Veri Saklama ve İmha politikası Uygulama Sorumlusu
İşyeri Hekimi Revir - Kişisel Veri Saklama ve İmha politikası Uygulama Sorumlusu
9. SAKLAMA VE İMHA SÜRELERİ TABLOSU
VERİ KATEGORİSİ SAKLAMA SÜRESİ İMHA SÜRESİ
Bir sözleşmenin kurulması veya ifası için işlenmesi gerekli olan veya bu kapsamda işlenen diğer veriler Türk Borçlar Kanunu gereğince Sözleşmenin sona erdiği tarihten itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Çalışanların sağlık verileri İş Sağlığı ve Güvenliği mevzuatı gereğince işten ayrılma tarihinden itibaren 15 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Meşru menfaat kapsamında bina güvenliğinin sağlanması için ziyaretçi giriş çıkış bilgileri 5 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Kira sözleşmesinden kaynaklanan kiracıya ilişkin veriler Türk Borçlar Kanunu gereğince sözleşmenin sona erdiği tarihten itibaren 5 yıl Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Genel güvenliğin sağlanması için alınan kamera kayıtları 45 gün Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
İlgili mevzuatında özel saklama süresi öngörülen diğer veriler İlgili mevzuatında öngörülen saklama süresi boyunca Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde
Rızaya dayalı olarak işlenen kişisel veriler İlgilinin kişisel verisinin silinmesi yönündeki talebine kadar İlgilinin talebinden itibaren 30 gün içinde
10. PERİYODİK İMHA SÜRELERİ

Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Şirket kişisel verileri silme veya yok etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler veya yok eder. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir.

Silme ve yok etmeye ilişkin işlem kayıtları 3 yıl süre ile saklanır.