COOKIE ("COOKIE") POLICY
We use Cookies to provide you the best experience of our website. If you do not prefer to use cookies, you can delete or block Cookies from your browser's settings. However, we would like to remind you that this may affect your use of our website. Unless you change your Cookie settings from your browser, we will assume that you accept the use of Cookies on this site. The Privacy Policy on our website is carried out in accordance with the regulations in the KVKK numbered 6698 and the Clarification Text.
COOKIES USED ON OUR WEBSITE
What is a Cookie and Why is it Used?
Cookies are small text files stored by websites you visit on your device or network server through browsers.
The main purposes of using Cookies on our website are listed below:
- To improve the services offered to you by increasing the functionality and performance of the website,
- To improve the website and to offer new features on the website and to personalize the offered features according to your preferences;
- To ensure the legal and commercial security of the website, you and our company.
Types of Cookies Used on Our Website
Session Cookies
|
Session Cookies are temporary Cookies used during our visitors' visit to the Website and deleted after the browser is closed.
The main purpose of using such Cookies is to ensure the proper functioning of the Website during your visit.
For example; It is provided for you to fill in online forms consisting of more than one page.
|
Permanent Cookies
|
Permanent Cookies are Cookie types used to increase the functionality of the Website and to provide a faster and better service to our visitors.
These types of Cookies are used to remember your preferences and are stored on your device via browsers.
Some types of Permanent Cookies; It can be used to offer you special suggestions, taking into account matters such as your purpose of using the Website.
Thanks to Permanent Cookies, if you visit our Website again with the same device, it will be checked whether there is a Cookie created by our Website on your device, and if there is, it will be understood that you have visited the site before and the content to be transmitted to you is determined accordingly and thus a better service is provided to you.
|
Cookies Used on Our Website
Technical Cookies
|
Technical Cookies enable the website to work, and the pages and areas of the website that are not working are determined..
|
Authentication Cookies
|
In the event that visitors log into the website using their passwords, such Cookies prevent the user from re-entering their password on each page by determining that the visitor is a site user on each page they visit on the website.
|
Flash Cookies
|
Cookie types used to enable image or audio content on the website.
|
Customization Cookies
|
Cookies used to remember users' preferences when visiting different pages of different websites. For example, remembering your chosen language preference.
|
Analytical Cookies
|
Cookies that enable the production of analytical results such as the number of visitors to the website, the detection of the pages displayed on the website, the website visiting hours, and the scrolling movements of the website pages.
|
Can the Use of Cookies Be Blocked by Data Owners?
By changing the settings of your browser, you have the opportunity to customize your preferences for Cookies.
GÜRAY METAL PLASTİK SANAYİ TİCARET ANONİM ŞİRKETİ
Kişisel Verileri Saklama ve İmha Politikasıt
GÜRAY METAL PLASTİK SANAYİ TİCARET A.Ş. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI AYDINLATMA METNİ
Şirket olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca sizi, kişisel veri işleme faaliyetlerimiz hakkında bilgilendirmek ve aydınlatmak isteriz.
1. AMAÇ:
GÜRAY METAL PLASTİK SANAYİ TİCARET ANONİM ŞİRKETİ (“GÜRAY”) sosyal ve hukuki sorumlulukları gereğince, kişisel verileri koruma,
işleme ve imha düzenlemelerine uymayı taahhüt etmektedir. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) yürürlükteki
mevzuat çerçevesinde GÜRAY’ın tamamına uygulanmakta ve kişisel veri imha ile ilgili ulusal olarak kabul görmüş temel ilkelere
dayanmaktadır. İlgili mevzuat kapsamında gerekli imha çalışmalarının yapılmasına ilişkin çerçeve ve esasları içermektedir.
Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) 7nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine
veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22 nci
maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi,
Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı
Resmi Gazete’de yayımlanmıştır. Yukarıdaki düzenlemeye dayanarak, bu Politikanın amacı, GÜRAY’ın faaliyetlerinin yürütülmesinde
topladığı kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları
belirlemektir.
2. KAPSAM:
Bu Politika GÜRAY’da görev yapmakta olan çalışanların, çalışan adaylarının, stajyerlerin ve bunların veli/vasi/temsilcileri ile
ürün satın alan şahıs firmalarının tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.
3. İDARİ VE TEKNİK TEDBİRLER:
Yönetmelik uyarınca, işbu Politika’nın asgari olarak; Kişisel Verilerin hukuka uygun olarak imha edilmesi için alınmış
teknik ve idari tedbirlere ilişkin bilgileri kapsaması gerekmektedir. Bu doğrultuda, GÜRAY tarafından Kişisel Verilerin,
Kişisel Veri İşlenmesi ilkelerine uygun olarak işlenmesinin temin edilmesi için gerekli teknik ve idari tedbirler aşağıda
belirtilmektedir. Ayrıca yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.
-
Kağıt yoluyla aktarılan verilerin gizlilik dereceli belge formatında gönderilmesi ve ekstra fiziki güvenlik önlemi alınması,
-
Bulutta depolanan verilerin güvenliğinin sağlanması,
-
Kişisel verilerinizin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
-
Ağ güvenliği ve uygulama güvenliğinin sağlanması,
-
Erişim yetki kısıtlamalarının öngörülmesi,
-
Veri minimizasyonunun sağlanması,
-
Veri saklama sürelerinin tespit edilmesi,
-
Erişim, bilgi güvenliği, kullanım, saklama ve imha konusunda kurumsal politikaların hazırlanması ve uygulanması,
-
İşten ayrılan veya görevi değişen çalışanların bu alandaki yetkilerinin kaldırılması,
-
Güncel anti-virüs ve güvenlik duvarlarının kullanılması,
-
Kişisel veri güvenliği politika ve prosedürleri belirlenmesi,
-
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanması,
-
Kişisel veri güvenliğinin takibi yapılması,
-
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerinin alınması,
-
Kişisel veri içeren fiziksel ortamların dış risklere karşı güvenliğinin sağlanması,
-
Kişisel veri içeren ortamların güvenliğinin sağlanması,
-
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmesi ve uygulanması,
-
Siber güvenlik önlemleri alınması ve uygulanmasının takip edilmesi,
-
Saldırı tespit ve önleme sistemleri kullanılması,
-
GÜRAY’ın tüm iş birimleri ile gerçekleştirilen/gerçekleştirilecek toplantı/eğitimlerle farkındalık yaratılması,
-
Kişisel Veri süreçlerinde görev alan çalışanlara yönelik Kanun’a uyumun süreçlerinde dikkat edilmesi gereken hususlara yönelik eğitim verilmesi,
-
GÜRAY’ın iş ve operasyonel süreçlerinin Kanun’a uyumlu hale getirilmesi,
-
Veri envanteri ile veri işleme şartlarının hangi durumlarda gerçekleştiğinin tespiti,
-
Üçüncü taraf ve çalışanlarla yapılan sözleşmelere Kişisel Verilerin Korunması’na İlişkin hükümlerin eklenmesi.
-
Kişisel verilerin yedeklenmesi ve yedeklenen verilerin güvenliğinin sağlanması,
-
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanması ve takibi,
-
Sistem güvenliğine yönelik süreçlerin geliştirilmesi
-
Erişim loglarının düzenli olarak tutulması
-
Log kayıtlarının kullanıcı müdahalesi olmayacak şekilde tutulması,
-
Şifreleme yapılması,
-
Kurum içi periyodik ve/veya rastgele denetimler yapılması
-
Çalışanların veri güvenliği hususunda aydınlatılması – eğitilmesi
-
Çalışanlar ve iş ortaklarından gizlilik taahhütnamesi alınması
4. UYGULAMA:
GÜRAY kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.
Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre
belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar
saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren
hukuki bir sebep bulunmaması halinde, kişisel veriler GÜRAY’ın Politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu
kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kişisel verilerin silinmesi
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. GÜRAY, kendi
organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra,
bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. GÜRAY organizasyonu
içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri
silinmez, yok edilmez veya anonim hale getirilmez.
Kişisel verilerin yok edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz
hale getirilmesi işlemidir. GÜRAY, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin anonim hale getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. GÜRAY tarafından kişisel verilerin anonim hale getirilmiş
olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt
ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir
bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. GÜRAY, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü
teknik ve idari tedbirleri almakla yükümlüdür.
5. SAKLAMA VE İMHA SÜRELERİ:
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler
dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde,
verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale
getirilir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve GÜRAY’ın belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel
veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın
tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri
ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda GÜRAY’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri
belirlenmektedir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok
edilmekte veya anonim hale getirilmektedir. Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi
veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu
tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. Kurum tarafından aksine bir karar alınmadıkça, kişisel
verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı GÜRAY tarafından seçilir. İlgili kişi GÜRAY’a başvurarak kendisine
ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına
göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa GÜRAY talebe konu kişisel verileri siler, yok eder veya
anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her
durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.
Veri Tipi Detayları
|
Saklama dönemi başlangıç tarihi
|
Saklama süresi
|
GÜRAY binalarındaki güvenlik kameralarının video kayıtları
|
Veri işleme tarihi
|
1 ay
|
Çalışan adaylarından alınan kendilerine ve veli/vasi/temsilcilerine ait kişisel veriler
|
Veri işleme tarihi
|
1 yıl
|
İş ilişkisi kapsamında toplanan tedarikçi çalışanlarına, çalışanlara ve onların veli/vasi/temsilcilerine ait kişisel veriler
|
İşe son verme tarihi
|
1 yıl
|
Çalışan olmayan kursiyer, stajyer bilgileri
|
İşe son verme tarihi
|
1 yıl
|
Ürün satılan alan şahıs firmalarına ait bilgiler
|
İş ilişkisinin sona ermesi tarihi
|
10 yıl
|
İnternet sitesi çerez kayıtları
|
Veri işleme tarihi
|
2 yıl
|
6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
GÜRAY tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’da öngörülen düzenlemelere hassasiyetle
uygun davranılmaktadır. KVKK’nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski
taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din,
mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
GÜRAY, çalışanlara ait parmak izi, yüz tarama, sağlık verisi, kan grubu, özel sağlık sigortası poliçesi, sağlık raporları, işbaşı sağlık
raporu, akciğer grafisi, işitme testi, göz testi, işe giriş ve periyodik muayene formları, hamilelik durumu, hamilelik raporu, sağlık ve
doğum izni bilgileri ve ceza mahkumiyeti ile güvenlik tedbirlerine ilişkin verileri açık rıza şartına dayalı olarak KVKK’ya uygun bir biçimde
çalışanların işe giriş işlemlerinin yapılması, iş takibinin sağlanması, bilgi güvenliğinin sağlanması, şirketin meşru menfaatlerinin korunması,
iş sağlığı ve güvenliği ile alakalı planlamanın yapılması ve gerekli tedbirlerin alınması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla Kurul tarafından
belirlenecek olan yeterli önlemlerin alınması kaydıyla işlemektedir.
Özel nitelikli verilerinin işlenmesine rıza göstermeyen çalışanlara ilişkin yukarıda sayılan özel nitelikli verilerden yalnızca sağlık
verileri işyeri hekimi vasıtasıyla fiziken toplanmakta ve onun nezaretinde kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla saklanmaktadır.
Özel nitelikli kişisel verilerden yalnızca sağlık raporları işyeri hekimimiz ile paylaşılmakta, bunun dışında işlenen özel nitelikli
veriler yurtiçi veya yurtdışına aktarılmamakta, üçüncü kişilerle paylaşılmamaktadır.
Özel nitelikli verilerin işlenmesine aşağıda belirtilen güvenlik tedbirleri alınmaktadır;
-
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik Kanun ve buna bağlı yönetmelikler ile özel
nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
-
İlgili çalışanlarla gizlilik sözleşmelerinin yapılması,
-
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
-
Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
-
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri
sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
-
Özel nitelikli veri içeren elektronik ortamlarda verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
-
Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
-
Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
-
Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin
düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
-
Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması,
bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
-
Özel nitelikli veri içeren fiziksel ortamlarda verilerin bulunduğu ortamın niteliğine göre (elektrik kaçağı,
yangın, su baskını, hırsızlık vb. durumlara karşı) fiziksel önlem alınması,
Özel nitelikli verilerin saklama süreleri ve imhasında aşağıda yer alan tabloda yer verilen sürelere uyulmaktadır;
Veri Tipi Detayları
|
Saklama dönemi başlangıç tarihi
|
Saklama süresi
|
Çalışanlara ve Tedarikçi Çalışanlarına ait sağlık verileri
|
İşe son verme tarihi
|
10 yıl
|
Çalışanlara ve Tedarikçi Çalışanlarına ait ceza mahkumiyeti ve güvenlik tedbiri verileri
|
İşe son verme tarihi
|
10 yıl
|
Çalışanlara ve Tedarikçi Çalışanlarına ait parmak izi ve yüz tanıma verisi
|
İşe son verme tarihi
|
Hemen
|
7. SORUMLULUK
Şirket faaliyetleri çerçevesinde elde edilen kişisel verilerin muhafazası, işlenmesi, iş bu Politika ile tutarlı yönergelerin tesis
edilmesinden, mevzuat ve sözleşmesel sorumlulukların yerine getirilmesinden nihai olarak veri sorumlusu temsilcisi olarak İdari İşler
Müdürü sorumludur. Ayrıca kişisel verilerin saklanması ve imhası süreçlerinde yer alanların unvan, birim ve görev tanımları aşağıdaki
gibidir;
İdari İşler Müdürü :Şirketin tüm idari süreçlerini yönetir.
Muhasebe Birimi Yöneticisi :Şirketin tüm Bilgi İşlem, Finans ve Muhasebe süreçlerini yönetir.
İnsan Kaynakları Yöneticisi :Şirketin tüm personel süreçlerini yönetir.
İşyeri Hekimi :Çalışanlara ait sağlık süreçlerini yönetir.
GÜRAY METAL PLASTİK SANAYİ TİCARET ANONİM ŞİRKETİ