BSS KVKK İmha Politikası-en

BSS BURSA SÜSPANSİYON SİSTEMLERİ SAN. TİC. A.Ş

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU UYARINCA

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. GİRİŞ

1.1.Amaç

Kişisel Verileri Saklama ve İmha Politikası (Politika), BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat uyarınca gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş; misyon, vizyon ve temel ilkeleri doğrultusunda; BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

1.2.Kapsam

BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş çalışanları, çalışan adayları, hizmet sağlayıcıları, müşteriler, tedarikçiler ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup BSS Bursa Süspansiyon Sistemleri San. Tic. AŞ’nin sahip olduğu ya da BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1.3.Tanımlar

Kişisel Veri                            :Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

İlgili Kişi                                :Kişisel verisi işlenen gerçek kişi.

Veri Sorumlusu                    :Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Kanun                                    :6698 sayılı Kişisel Verilerin Korunması Kanunu

Yönetmelik                            :Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Kurul                                     :Kişisel Verileri Koruma Kurulu.

Özel Nitelikli Kişisel Veri    :Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.

Kişisel Verilerin İşlenmesi   :Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Açık Rıza                               :Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Alıcı Grubu                           :Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Veri İşleyen                           :Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

İlgili Kullanıcı                                   :Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

Kişisel Veri İşleme Envanteri         :Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kayıt Ortamı                         :Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

İmha                                      :Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Anonim Hale Getirme          :Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Kişisel Verilerin Silinmesi   :Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi        :Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Periyodik İmha                                :Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika                                  : BSS Bursa Süspansiyon Sistemleri San. Tic. AŞ’nin Kişisel Veri Saklama ve İmha Politikası.

2. KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından aşağıdaki belirtilen ortamlarda başta Kişisel Verilerin Korunması Kanunu hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanuna ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak işlemek ve korumaktadır.

Fiziksel ortamlar;

  • Kağıt, yazılı, basılı, görsel ortamlar,
  • Birim dolapları,
  • Arşiv

Elektronik ortamlar;

  • BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş bünyesinde yer alan sunucular, sabit ya da taşınabilir disk, optik disk gibi dijital ortamlar,
  • Sunucular (etki alanı, yedekleme, e-posta veri tabanı, web, dosya paylaşım vb.)
  • Yazılımlar (ofis yazılımları, portal, VERBİS)
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
  • Kişisel bilgisayarlar,
  • Mobil cihazlar (telefon, tablet vb.),
  • Yazıcı, tarayıcı, fotokopi makinası,
  • Bulut sistemi.

3. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

3.1. Saklamaya İlişkin Açıklamalar

Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından kişisel veriler kural olarak mevzuatta öngörülen süreyle saklanmaktadır. İşbu sürenin sonra ermesi veya mevzuatta süre belirtilmeyen durumlarda kişisel veriler, işbu verilerin şirket faaliyetleri için gerekliliği göz önünde bulundurularak BSS Bursa Süspansiyon Sistemleri San. Tic. AŞ’nin şirket faaliyetleri ve ticari teamüller uyarınca işlenmesini gerektiren süre kadar ve olası hukuki süreçlerin yürütülmesi amacıyla gereken süre kadar saklanmaktadır.

3.1.1. Saklamayı Gerektiren Sebepler

  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla BSS Bursa Süspansiyon Sistemleri San. Tic. AŞ’nin meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin BSS Bursa Süspansiyon Sistemleri San. Tic. AŞ’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

3.1.2. Saklamayı Gerektiren İşleme Amaçları

  • İnsan kaynakları süreçlerini yürütmek,
  • Cari kart oluşturmak,
  • Kurumsal iletişimi sağlamak,
  • Şirket güvenliğini sağlamak,
  • İstatistiksel çalışmalar yapabilmek,
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
  • VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
  • Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
  • Yasal raporlamalar yapmak,
  • Çağrı merkezi süreçlerini yönetmek,
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

3.2. İmhaya İlişkin Açıklamalar ve İmha Nedenleri

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir.

  • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  • İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

4. SAKLAMA VE İMHA SÜRELERİ

BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır;

• Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.

• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

a)Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş nezdindeki önem derecesine göre belirlenir.

b)Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında BSS Bursa Süspansiyon Sistemleri San. Tic. AŞ’nin meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

c)Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Saklama süresi dolan kişisel veriler, imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politikada yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler tutanak altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

  • Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
  • Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
  • Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır.

Süreç bazında saklama ve imha süreleri tablosu

SÜREÇSAKLAMA SÜRESİİMHA SÜRESİ 
İnsan Kaynakları süreçlerinin yönetilmesiFaaliyetin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Satış, pazarlama ve satın alma faaliyetleri10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe işlemleri10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmelerin hazırlanmasıSözleşmenin sona ermesini takiben 10 yılSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera görüntüleri, telefon aramalarında alınan ses kayıtlarıÇalışanlara ilişkin işten ayrılmasından itibaren 10 yıl, sözleşme yapılan kişiler açısından sözleşmenin tamamlanmasından itibaren 10 yıl, ziyaretçiler açısından ziyaretin tamamlanmasından itibaren 2 yıl.Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

5. PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş periyodik imha süresini 6 ay olarak belirlemiştir. Periyodik imha süreçleri ilk olarak 2019 yılının Aralık ayında başlar ve her 6 (altı) ayda bir tekrar eder.

6. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle 6/4. maddesi gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından teknik ve idari tedbirler alınır.

6.1. Teknik Tedbirler

BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik , geliştirme ve bakımı kapsamında güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • BSS Bursa Süspansiyon Sistemleri San. Tic. AŞ’nin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • Bilişim ortamında saklanan kişisel verilere yönelik saldırı önleme sistemleri kullanılmaktadır.
  • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, güvenlik kamerası sistemi, kişisel veri saklanan ortamların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri…) önlemler alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların da takibi yapılmaktadır.
  • Güncel anti virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Kişisel veri güvenliği takibi yapılmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa şifrelenmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
  • Şifreleme yapılmaktadır.

6.2. İdari Tedbirler

BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
  • Erişim, bilgi güvenliği, kullanım saklama ve imha konularında kurumsal politikalar mevcut olup uygulanmaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından veri paylaşımı yapılan kişilerle ihlal durumunda derhal bildirim yükümlülüğü içerir sözleşmeler yapılmakta, şirket bünyesinde bu hususta uygun altyapı oluşturulmaktadır.
  • Kişisel veriler veri minimizasyonu ilkesi uyarınca mümkün olduğunca azaltılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Kişisel veri işlemeye başlamadan önce BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermekte veya imzalanan sözleşmelerin eki niteliğinde gizlilik sözleşmeleri yapılmaktadır.
  • Kâğıt ortamında tutulan kişisel verilerin olduğu bölüme yetkili personel dışında giriş çıkışlar kaldırılmaktadır.

7. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından re ’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

7.1. Kişisel Verilerin Silinmesi

Sunucularda yer alan kişisel veriler; Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik ortamda yer alan kişisel veriler; Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

a)Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

b)Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

Fiziksel ortamda yer alan kişisel veriler; Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir medyada bulunan kişisel veriler; Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

7.2. Kişisel Verilerin Yok Edilmesi

Fiziksel ortamda yer alan kişisel veriler; Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik ve manyetik medyada yer alan kişisel veriler; Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

7.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Değişken çıkartma; İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.

Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.

Genelleştirme; Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.

8.KİŞİSEL VERİ SAHİBİNİN HAKLARI

KİŞİSEL VERİ SAHİBİNİN HAKLARI

KVKK’nın 11. maddesi uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

 a) Kişisel verilerinin işlenip işlenmediğini öğrenme,

 b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

 c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını   öğrenme,

 ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

İşbu kanun maddesinin e bendi uyarınca kişisel veri sahipleri kişisel verilerinin silinmesini veya yok edilmesinin isteme hakkına sahiptirler.

Kişisel veri sahibi olarak KVKK 11.  maddesinde belirtilen haklarınıza ilişkin başvurularınızı kimlik tespit edecek bilgi ve belgelerle, aşağıda belirtilen iletişim kanalları aracılığıyla BSS Bursa Süspansiyon Sistemleri San. Tic. AŞ’ye Başvuruda yer alan talepler, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır.

İletişim Kanalları

Kep Adresi               : bssbursasuspansiyon@hs03.kep.tr

İkametgah Adresi    : Minareliçavuş OSB Mahallesi, Sedir Cd. No.7, 16140 Nilüfer/Bursa

9. POLİTİKANIN GÜNCELLENMESİ

BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş Kanunda yapılan değişiklikler nedeniyle ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.

İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

10.  YÜRÜRLÜK VE UYGULAMA BSS Bursa Süspansiyon Sistemleri San. Tic. A.Ş tarafından hazırlanan işbu Politika internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.