COOKIE ("COOKIE") POLICY

We use Cookies to provide you the best experience of our website. If you do not prefer to use cookies, you can delete or block Cookies from your browser's settings. However, we would like to remind you that this may affect your use of our website. Unless you change your Cookie settings from your browser, we will assume that you accept the use of Cookies on this site. The Privacy Policy on our website is carried out in accordance with the regulations in the KVKK numbered 6698 and the Clarification Text.
 

COOKIES USED ON OUR WEBSITE

What is a Cookie and Why is it Used?

Cookies are small text files stored by websites you visit on your device or network server through browsers.

The main purposes of using Cookies on our website are listed below:

- To improve the services offered to you by increasing the functionality and performance of the website,

- To improve the website and to offer new features on the website and to personalize the offered features according to your preferences;

- To ensure the legal and commercial security of the website, you and our company.

Types of Cookies Used on Our Website

Cookies Used on Our Website

​Can the Use of Cookies Be Blocked by Data Owners?

By changing the settings of your browser, you have the opportunity to customize your preferences for Cookies.

GÜRAY METAL PLASTİK SANAYİ TİCARET ANONİM ŞİRKETİ

Kişisel Verileri Saklama ve İmha Politikasıt

GÜRAY METAL PLASTİK SANAYİ TİCARET A.Ş.  KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI  AYDINLATMA METNİ

Şirket olarak 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca sizi, kişisel veri işleme faaliyetlerimiz hakkında bilgilendirmek ve aydınlatmak isteriz.

1. AMAÇ:

GÜRAY METAL PLASTİK SANAYİ TİCARET ANONİM ŞİRKETİ (“GÜRAY”) sosyal ve hukuki sorumlulukları gereğince, kişisel verileri koruma, işleme ve imha düzenlemelerine uymayı taahhüt etmektedir. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) yürürlükteki mevzuat çerçevesinde GÜRAY’ın tamamına uygulanmakta ve kişisel veri imha ile ilgili ulusal olarak kabul görmüş temel ilkelere dayanmaktadır. İlgili mevzuat kapsamında gerekli imha çalışmalarının yapılmasına ilişkin çerçeve ve esasları içermektedir. Kişiler Verilerin Korunması Kanunu’nun (“Kanun”) 7nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanun’un 22 nci maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır. Yukarıdaki düzenlemeye dayanarak, bu Politikanın amacı, GÜRAY’ın faaliyetlerinin yürütülmesinde topladığı kişisel verilerin, Yönetmeliğe uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

2. KAPSAM:

Bu Politika GÜRAY’da görev yapmakta olan çalışanların, çalışan adaylarının, stajyerlerin ve bunların veli/vasi/temsilcileri ile ürün satın alan şahıs firmalarının tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ve bu verilerin saklanmasına ve imhasına ilişkindir.

3. İDARİ VE TEKNİK TEDBİRLER:

Yönetmelik uyarınca, işbu Politika’nın asgari olarak; Kişisel Verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere ilişkin bilgileri kapsaması gerekmektedir. Bu doğrultuda, GÜRAY tarafından Kişisel Verilerin, Kişisel Veri İşlenmesi ilkelerine uygun olarak işlenmesinin temin edilmesi için gerekli teknik ve idari tedbirler aşağıda belirtilmektedir. Ayrıca yeni gereklilikler ortaya çıktıkça yeni idari ve teknik tedbirler de alınacaktır.

• Kağıt yoluyla aktarılan verilerin gizlilik dereceli belge formatında gönderilmesi ve ekstra fiziki güvenlik önlemi alınması,

• Bulutta depolanan verilerin güvenliğinin sağlanması,

• Kişisel verilerinizin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

• Ağ güvenliği ve uygulama güvenliğinin sağlanması,

• Erişim yetki kısıtlamalarının öngörülmesi,

• Veri minimizasyonunun sağlanması,

• Veri saklama sürelerinin tespit edilmesi,

• Erişim, bilgi güvenliği, kullanım, saklama ve imha konusunda kurumsal politikaların hazırlanması ve uygulanması,

• İşten ayrılan veya görevi değişen çalışanların bu alandaki yetkilerinin kaldırılması,

• Güncel anti-virüs ve güvenlik duvarlarının kullanılması,

• Kişisel veri güvenliği politika ve prosedürleri belirlenmesi,

• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanması,

• Kişisel veri güvenliğinin takibi yapılması,

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerinin alınması,

• Kişisel veri içeren fiziksel ortamların dış risklere karşı güvenliğinin sağlanması,

• Kişisel veri içeren ortamların güvenliğinin sağlanması,

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmesi ve uygulanması,

• Siber güvenlik önlemleri alınması ve uygulanmasının takip edilmesi,

• Saldırı tespit ve önleme sistemleri kullanılması,

• GÜRAY’ın tüm iş birimleri ile gerçekleştirilen/gerçekleştirilecek toplantı/eğitimlerle farkındalık yaratılması,

• Kişisel Veri süreçlerinde görev alan çalışanlara yönelik Kanun’a uyumun süreçlerinde dikkat edilmesi gereken hususlara yönelik eğitim verilmesi,

• GÜRAY’ın iş ve operasyonel süreçlerinin Kanun’a uyumlu hale getirilmesi,

• Veri envanteri ile veri işleme şartlarının hangi durumlarda gerçekleştiğinin tespiti,

• Üçüncü taraf ve çalışanlarla yapılan sözleşmelere Kişisel Verilerin Korunması’na İlişkin hükümlerin eklenmesi.

• Kişisel verilerin yedeklenmesi ve yedeklenen verilerin güvenliğinin sağlanması,

• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanması ve takibi,

• Sistem güvenliğine yönelik süreçlerin geliştirilmesi

• Erişim loglarının düzenli olarak tutulması

• Log kayıtlarının kullanıcı müdahalesi olmayacak şekilde tutulması,

• Şifreleme yapılması,

• Kurum içi periyodik ve/veya rastgele denetimler yapılması

• Çalışanların veri güvenliği hususunda aydınlatılması – eğitilmesi

• Çalışanlar ve iş ortaklarından gizlilik taahhütnamesi alınması

4. UYGULAMA:

GÜRAY kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler GÜRAY’ın Politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. GÜRAY, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. GÜRAY organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.

Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. GÜRAY, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. GÜRAY tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. GÜRAY, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

5. SAKLAMA VE İMHA SÜRELERİ:

Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve GÜRAY’ın belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda GÜRAY’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı GÜRAY tarafından seçilir. İlgili kişi GÜRAY’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa GÜRAY talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

GÜRAY tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’da öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. KVKK’nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

GÜRAY, çalışanlara ait parmak izi, yüz tarama, sağlık verisi, kan grubu, özel sağlık sigortası poliçesi, sağlık raporları, işbaşı sağlık raporu, akciğer grafisi, işitme testi, göz testi, işe giriş ve periyodik muayene formları, hamilelik durumu, hamilelik raporu, sağlık ve doğum izni bilgileri ve ceza mahkumiyeti ile güvenlik tedbirlerine ilişkin verileri açık rıza şartına dayalı olarak KVKK’ya uygun bir biçimde çalışanların işe giriş işlemlerinin yapılması, iş takibinin sağlanması, bilgi güvenliğinin sağlanması, şirketin meşru menfaatlerinin korunması, iş sağlığı ve güvenliği ile alakalı planlamanın yapılması ve gerekli tedbirlerin alınması, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işlemektedir.

Özel nitelikli verilerinin işlenmesine rıza göstermeyen çalışanlara ilişkin yukarıda sayılan özel nitelikli verilerden yalnızca sağlık verileri işyeri hekimi vasıtasıyla fiziken toplanmakta ve onun nezaretinde kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla saklanmaktadır.

Özel nitelikli kişisel verilerden yalnızca sağlık raporları işyeri hekimimiz ile paylaşılmakta, bunun dışında işlenen özel nitelikli veriler yurtiçi veya yurtdışına aktarılmamakta, üçüncü kişilerle paylaşılmamaktadır.

Özel nitelikli verilerin işlenmesine aşağıda belirtilen güvenlik tedbirleri alınmaktadır;

• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

• İlgili çalışanlarla gizlilik sözleşmelerinin yapılması,

• Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

• Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

• Özel nitelikli veri içeren elektronik ortamlarda verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

• Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

• Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

• Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

• Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

• Özel nitelikli veri içeren fiziksel ortamlarda verilerin bulunduğu ortamın niteliğine göre (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) fiziksel önlem alınması,

Özel nitelikli verilerin saklama süreleri ve imhasında aşağıda yer alan tabloda yer verilen sürelere uyulmaktadır;

7. SORUMLULUK

Şirket faaliyetleri çerçevesinde elde edilen kişisel verilerin muhafazası, işlenmesi, iş bu Politika ile tutarlı yönergelerin tesis edilmesinden, mevzuat ve sözleşmesel sorumlulukların yerine getirilmesinden nihai olarak veri sorumlusu temsilcisi olarak İdari İşler Müdürü sorumludur. Ayrıca kişisel verilerin saklanması ve imhası süreçlerinde yer alanların unvan, birim ve görev tanımları aşağıdaki gibidir;

İdari İşler Müdürü :Şirketin tüm idari süreçlerini yönetir.

Muhasebe Birimi Yöneticisi :Şirketin tüm Bilgi İşlem, Finans ve Muhasebe süreçlerini yönetir.

İnsan Kaynakları Yöneticisi :Şirketin tüm personel süreçlerini yönetir.

İşyeri Hekimi :Çalışanlara ait sağlık süreçlerini yönetir.

GÜRAY METAL PLASTİK SANAYİ TİCARET ANONİM ŞİRKETİ