1.      AMAÇ VE KAPSAM

İşbu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve bu Kanuna dayanarak hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği hazırlanmış olup, KÜTAHYA Ticaret ve Sanayi Odası (“KÜTAHYA TSO”) kişisel verilerin saklanması ve imhasına yönelik esasları, saklama ve imha faaliyeti sürecinde izlenecek yöntemleri ve yükümlülükleri düzenlemektedir.

İşbu Politika, Kanunda tanımlandığı üzere, KÜTAHYA TSO tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.

2.      GENEL KAPSAM VE YASAL DAYANAK

2.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, KÜTAHYA TSO, ‘’Veri Sorumlusu’’ sıfatıyla;

Taşıma ve depolama faaliyetlerinin yürütülmesi amacıyla, bu faaliyetlerin doğrudan veya dolaylı taraflarından edinilen kişisel verileri, Kanun ve ilgili mevzuatlar uyarınca hazırlanan Kişisel Verilerin İşlenmesi ve Korunması Politikasında belirtildiği şekilde işleyebilecek, kaydedebilecek, muhafaza edebilecek, güncelleyebilecek ve ilgili mevzuatlarda öngörüldüğü üzere üçüncü kişilere aktarabilecektir.

KÜTAHYA TSO tarafından, çalışan, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi, ziyaretçi, çalışan adayı, denetmen, eğitmen, kamu kurumu yetkilisi, katılımcı (etkinlik vb.), mali müşavir, meclis üyeleri, oda üyesi şirket çalışanı, oda üyesi şirket çalışanı yakını, oda üyesi şirket müdürü, yönetim kurulu üyesi kategorisindeki kişilerden kimlik, iletişim, finans, fiziksel mekân güvenliği, görsel ve işitsel kayıtlar, hukuki işlem, mesleki deneyim, müşteri işlem, özlük, sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri ve din kategorilerine ait kişisel veriler işlenebilmektedir.

2.2. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepler

KÜTAHYA TSO tarafından;

  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Kamuoyunun Bilgilendirilmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • Fiziksel Mekan Güvenliğinin Temini
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Organizasyon ve Etkinlik Yönetimi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
  • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Oda Ve Ticaret Sicil Üyelik Kaydının Yapılması Ve Terkini
  • Oda Ve Ticaret Sicil Hizmetlerinden Faydalandırılması

amaçlarıyla Kanunun 5. Ve 6. Maddelerinde öngörülen kişisel veri işleme ilke ve şartlarına uygun olarak işlenecektir.

2.3. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda İzlenecek Prosedür

Kişisel verileri koruma komitesi, kişisel veri işleme envanterinde yer alan kişisel verilerin işlenmesi ile ilgili şartların ortadan kalkıp kalkmadığını altışar aylık periyodlar halinde veri kayıt sistemlerinde denetler. Kurulun veya mahkemenin bildirimi üzerine, periyodik denetleme süresine bakılmaksızın kişisel verileri koruma komitesi tarafından kararların/bildirimlerin derhal gereği yapılır.

Kişisel verileri koruma komitesi tarafından yapılan periyodik denetimler sonucunda veri işleme şartlarının ortadan kalktığı tespit edilen kişisel verilerle ilgili olarak, işbu Politikaya göre verinin muhafaza edilmesine veya silme, yok etme veya anonim hale getirilmesine karar verilir.

Kişisel veri koruma komitesi, KÜTAHYA TSO’nun itiraz, temyiz vb. yasal hakları saklı kalmak kaydıyla Kurum veya mahkeme tarafından verilen müzekkere veya kararları derhal uygular.

Kişisel Verilerin işlenmesi ile ilgili bir dava açılması ve bu davanın KÜTAHYA TSO’ya bildirilmiş olması halinde delillerin yok olmasını önlemek amacıyla, Kanunun 5. ve 6. Maddesinde öngörülen veri işleme şartları sağlanmasa dahi, Kişisel Verileri Koruma Komitesi kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini yargılama sonuna kadar durdurur.

Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesini, başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olmasını, kişisel verilere yalnızca erişimin gerektirdiği ölçüde Kişisel Verileri Koruma Komitesi ve kişisel verilerin saklanmasından sorumlu olan teknik personel tarafından erişilmesini sağlayacak şekilde gerekli teknik ve idari tedbirler alınır ve bu suretle kişisel verilerin silinmesi işlemi yerine getirilir.

Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi; Kişisel Verileri Koruma Komitesi ve verilerin muhafazasından sorumlu teknik personel haricindeki kullanıcıların erişiminin sınırlandırılması yoluyla yapılır. Bu işlemlerin yapılması için KÜTAHYA TSO tarafından bu fonksiyonları yerine getirecek olan yazılımlar ve diğer teknik araç ve gereçler kullanılır.

Veri sahibinin, kişisel verisinin imhasına ilişkin bir talepte bulunması veya imhaya ilişkin Kurul veya mahkeme kararı olması veya kişisel veri işleme şartlarının ortadan kalkması/zamanaşımı süresinin dolması durumunda, Kişisel Verileri Koruma Komitesi imhası talep edilen kişisel veriyi muhafaza edildiği fiziksel veya elektronik kayıt ortamlarında ilgili kullanıcıların erişimine kapatır.

Silinen, yok edilen veya anonim hale getirilen verilerle ilgili olarak veri imha tutanağı tutulur ve bu tutanaklar üç yıl boyunca saklanır.

Veri sahibinin kişisel verilerin imhası talebi, kişisel verileri işleme şartlarının tamamen ortadan kalkmış olması koşuluyla, KÜTAHYA TSO yetkilileri tarafından talebin alınmasını takiben 30 gün içinde gerçekleştirilir. KÜTAHYA TSO’nun, Kişisel verileri işleme şartları ortadan kalkmamışsa veya aksine mevzuat, Kurul veya mahkeme kararı yoksa kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebini reddetme hakkı bulunmaktadır. Ret kararı gerekçesiyle birlikte, İrtibat Kişisi tarafından talep tarihinden itibaren 30 gün içinde yazılı olarak veya elektronik ortamda talepte bulunan veri sahibine bildirilir.

 

2.4. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler

Kişisel veriler, Kanuna ve ilgili mevzuatlara uygun şekilde muhafaza edilmesi ve erişilmesine ilişkin alınmış idari ve teknik tedbirler kapsamında; bilgi güvenliği politikası, idari metinler ve politika, prosedür ve işlem talimatlarıyla güvence altına alınır.

İşbu Politika ve Politikada yapılacak değişiklik ve düzenlemeler tüm KÜTAHYA TSO çalışanlarına bildirilir. Ayrıca, KVKK’ya uyum çalışmaları kapsamında tüm KÜTAHYA TSO personeli bilgilendirilir, gerekli eğitimler verilir ve önemli gelişmeler tüm KÜTAHYA TSO çalışanlarına bildirilir.

İşbu Politikada belirtilen görev ve yükümlülüklerinin yerine getirilmesi ile ilgili denetim ve takip Kişisel Verileri Koruma Komitesi tarafından yapılır. Politikada belirtilen görev ve yükümlülüklerin ihlal edilmesi durumunda, derhal ihlalde bulunan çalışanın bağlı olduğu ilgili birim Yöneticisine bildirilir ve aykırılığın giderilmesi için ilgili Yönetici gerekli tedbirleri alır. Politikaya aykırı davranan çalışan hakkında yapılacak işlem için disiplin cezaları uygulanabileceği gibi ihlalin ağırlığına göre iş akdinin geçerli veya haklı nedenle feshi de gerçekleştirilebilir.

İşbu Politika gereklerinin yerine getirilmesi için KÜTAHYA TSO tarafından gerekli yazılımlar/ sistemler/uygulamalar kullanılır ve mevzuattaki değişiklikler ile KÜTAHYA TSO’ya tebliğ edilen Kurul veya mahkeme kararları nedeniyle oluşabilecek değişiklikler İrtibat Kişisi ve Kişisel Verileri Koruma Komitesi tarafından takip edilir. Gerekli değişiklikler, değişikliğin meydana gelmesinden itibaren en kısa sürede gerçekleştirilir.

 

2.5. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları

2.5.1.      Kişisel Verileri Koruma Komitesi

Kişisel Verileri Koruma Komitesi;

  • İşbu politikanın uygulanmasını sağlamak,
  • İlgili mevzuatlarda yapılan değişiklikleri, Kurul ve mahkeme kararlarını ve altyapıdaki değişiklikleri takip etmek,
  • Veri saklama ve imha ile ilgili faaliyetleri takip etmek, bu faaliyetlerin işbu Politika ile uyumlu olup olmadığının denetlemek, işbu Politikaya aykırı bir faaliyetin tespit edilmesi durumunda bu aykırılığın giderilmesini sağlamak,
  • Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etmek,
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusu adına almak ve cevaplarını Kuruma iletmek,
  • Kurul tarafından başka bir usul ve esasın belirlenmemiş olması halinde ilgili kişilerin Kanunun 13’üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına almak ve cevapları iletmek,
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak,
  • Veri sorumlusu adına sicile kayıt sırasında irtibat kişisi bilgilerini sicile işlemek,
  • İşbu politikada yer alan diğer yükümlülükleri takip etmek ve yerine getirmek,

görev ve sorumluluklarını gerçekleştirmekle yükümlüdür.

2.5.2.      İrtibat Kişisinin Görev ve Yetkileri

 

 

 

 

 

 

3.      KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

KÜTAHYA TSO, Ticaret Kanunu ve ilgili düzenlemeler gereği denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmakla yükümlü olup, ilgili tüm bilgi ve belgeler KÜTAHYA TSO tarafından süresiz olarak muhafaza edilecektir.

6098 sayılı Türk Borçlar Kanunu 146. Maddesinde alacaklar için genel zamanaşımı süresinin 10 yıl olarak belirtilmiş olması, 6102 sayılı Türk Ticaret Kanunu 82. Maddesinde belgelerin 10 yıl saklama zorunluluğunun bulunması ve 5237 sayılı Türk Ceza Kanunundaki ceza zamanaşımı süreleri nazara alınarak, Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere verilebilmesi amacıyla kişisel veriler son işlem tarihinden itibaren 20 yıl süre ile saklanır.

İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/1-b hükmünde öngörüldüğü üzere KÜTAHYA TSO çalışanlarına ait sağlık ve güvenlik kayıtları 20 yıl süreyle, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun ilgili maddeleri gereği, KÜTAHYA TSO çalışanlarına ait sağlık ve güvenlik kayıtları dışındaki diğer kişisel veriler 20 yıl süreyle muhafaza edilir.

Destek hizmeti firmaları, kurumsal müşteriler ve tedarikçi firmalardan temin edilen kişisel veriler; 6098 sayılı Borçlar Kanunu 146. Maddesinde alacaklar için genel zamanaşımı süresinin 10 yıl olarak düzenlenmesi ve 6102 sayılı Türk Ticaret Kanunu 82. Maddesinde belgelerin 10 yıl saklanmasının öngörülmesi sebebiyle, KÜTAHYA TSO’ nun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve talep edilmesi halinde belgelerin adli mercilere sunulabilmesi amacıyla son işlem tarihinden itibaren 10 yıl süre ile muhafaza edilir.

Arşiv ve imha süreçlerinde Devlet Arşiv Hizmetleri Hakkında Yönetmelik’te belirtilen talimat ve yönergeler esas alınır. İmha edilecek belgeler için işbu Yönetmelik ekinde yer alan (EK-5) “İmha Listesi” hazırlanır. Aynı tür ve vasıfları haiz belge için, örneklerini saklamak suretiyle tür ve yılları gösteren imha listeleri düzenlenebilir. Hazırlanan imha listeleri, tutanakları ve bunlarla ilgili her türlü belge süresiz olarak muhafaza edilir.

3.1. Kişisel Verilerin Saklama ve İmha Süreleri Tablosu

3.1.1.      Süresiz Saklama

Oda tarafından;

Ø  Habere konu kişilerin,

Ø  Ürün hizmet alan kişilerin,

Ø  Veli/ vasi / temsilcilerin,

Ø  Oda üyesi veya ticaret sicile kayıtlı işletme sahibi, ortağı ve yetkililerinin,

Ø  Oda üyesi veya ticaret sicile kayıtlı işletme çalışanının

Ø  Sigorta acentesi sahibi, ortağı ve yetkilisinin

Ø  İş makinesi sahibi gerçek kişi ile iş makinesi sahibi şirket yetkilisinin,

Ø  Oda meclis üyelerinin

Ø  Oda üyesi veya ticaret sicile kayıtlı işletme sahibinin veya hizmet alıcısının yetkilendirdiği 3. Kişinin

Ø  Oda yönetim kurulu üyelerinin

Ø  Oda kurul ve çalışma grubu üyelerinin

Verileri aşağıda belirtilen sürelerle saklanmaktadır.

Kimlik
Süresiz
İletişim
Süresiz
Özlük
Süresiz
Hukuki İşlem
Süresiz
Müşteri İşlem
Süresiz
Fiziksel Mekan Güvenliği
1 Hafta
İşlem Güvenliği
Süresiz
Finans
Süresiz
Mesleki Deneyim
Süresiz
Pazarlama
Süresiz
Görsel ve İşitsel Kayıtlar
Süresiz
Felsefi İnanç, Din, Mezhep Ve Diğer İnançlar
Süresiz
Sağlık
Süresiz
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri
Süresiz
Araç Bilgileri
Süresiz

 

3.1.2.      Süreli Saklama

Oda tarafından;

  • Çalışan adaylarının,
  • Çalışanların,
  • Potansiyel ürün veya hizmet alıcılarının,
  • Sınav adayının,
  • Stajyerin,
  • Tedarikçi çalışanının,
  • Tedarikçi yetkilisinin,
  • Ziyaretçilerin,
  • Katılımcıların,
  • Çalışan yakınlarının

Verileri aşağıda belirtilen sürelerle saklanmaktadır.

Kimlik
20
İletişim
20
Özlük
20
Hukuki İşlem
20
Müşteri İşlem
20
Fiziksel Mekan Güvenliği
1 Hafta
İşlem Güvenliği
20
Finans
20
Mesleki Deneyim
20
Pazarlama
20
Görsel ve İşitsel Kayıtlar
20
Felsefi İnanç, Din, Mezhep Ve Diğer İnançlar
20
Sağlık
20
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri
20
Biyometrik
20
Hobiler
20
Araç Bilgileri
20

 

Tabloda öngörülen sürelerin bitimini takip eden ilk 6 aylık periyodik imha zaman aralığında kişisel veriler ilgili kullanıcıların erişimine kapatılarak silinir. İlgili kullanıcıların erişimine kapatılan kişisel veriler sadece erişimin gerektirdiği ölçüde Kişisel Verileri Koruma Komitesinin ve verileri saklamakla görevli olan teknik personelin erişimine açık olacak şekilde arşivlenir.

4.      YÜRÜRLÜK VE GÜNCELLEMELER

İşbu politika, KÜTAHYA TSO yönetim kurulu tarafından onaylandığı tarihte yürürlüğe girecektir.

İşbu Politikanın tüm KÜTAHYA TSO çalışanlarına ulaşacak biçimde yayınlanması ve gerekli güncellemelerin yapılması halinde bu güncellemelerin duyurulması Kişisel Verileri Koruma Komitesi’nin yükümlülüğündedir.

İşbu Politikayı yürürlükten kaldırma yetkisi KÜTAHYA TSO yönetim kuruluna aittir.