KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI AYDINLATMA METNİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI AYDINLATMA METNİ

Saklama ve İmha Politikasının Amacı

Kişisel veri saklama ve imha politikamızın amacı, veri sorumlusu olarak kişisel verilerin işlenme amacı saklama sürelerimizi belirli hale getirme, silme, yok etme ve anonim hale getirme işlemlerimizde nasıl bir politika izleyeceğimizi ve bu süreçteki hassasiyetimizi ilgili tüm kişilerle paylaşmaktır.  

Bu kapsamda amacımız, kişisel verilerini işlediğimiz çalışanlarımızı, işbirliği içinde olduğumuz tüm üçüncü şahısları verilerinin işlenmesi ve hakları konusunda aydınlatmak, bu konuda şeffaflığı sağlayarak kişisel verilerin korunmasına, ulusal ve uluslararası mevzuatta yer alan temel ilkelere uygun hareket etmektir.

Hukuki Dayanağı

Politikamız, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5’inci ve 6’ncı maddelerinin bir gereği olarak oluşturulmuştur. Ayrıca 30/12/2017 Tarihli 30286 Sayılı Resmi Gazete yer alan Veri Sorumluları Sicili Hakkında Yönetmelik (Verbis Yönetmeliği)’te yer alan hükümler de dikkate alınmıştır.

Kapsamı

Politikamız,  çalışanlarımızı ve işbirliği içinde olduğumuz gerçek şahıslar ile GEOCHEMM KİMYA TİCARET ANONİM ŞİRKETİ arasında hukuki ilişki içinde olan tüm gerçek kişileri ve KVKK ile tanımlanan özel nitelikli olan ve olmayan tüm kişisel verilerini kapsamaktadır.

Politika KVKK’da belirtildiği şekilde, tamamen veya kısmen otomatik  olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri de kapsamaktadır. Bu kişisel veri saklama ve imha politikamız veri sorumlusu şirketimize ait olan www.geochemm.com sitemizde yayınlanmaktadır. 

Genel İlkeler

Veri sorumlusu Şirketimiz  kişisel verilerin işlenmesi sürecinde kanunda yer verilen temel ilkeler çerçevesinde hareket edilmektedir. Kişisel veriler, ancak KVKK’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. KVKK 4. maddesi uyarınca aşağıda yer verilen ilkelere uyulması zorunludur:

-Hukuka ve dürüstlük kurallarına uygun olma.

-Doğru ve gerektiğinde güncel olma.

-Belirli, açık ve meşru amaçlar için işlenme

-İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

-İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Düzenleme Altına Aldığı Kayıt Ortamları

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.

Tablo 1

Sorumluluk

Şirketimizin veri işleme faaliyeti gerçekleştiren birimlerinin sorumluları tarafından verilerin güvenliği ve gereksiz veri işlenmemesi hususlarına dikkat edilerek kişisel veriler işlenmektedir. Şirketimizde veri işleme, saklama ve imha temelde insan kaynakları ve satış ofisi biriminde tutulmakta olup diğer birimlerle gerektiği kadar ve sınırlı veri paylaşılmaktadır.

Tablo 2

Hukuki Yükümlülük

1.Veri Sorumlusunun Aydınlatma Yükümlülüğü

KVKK m. 10’a göre veri sorumlusu olan şirketimizin aydınlatma yükümlülüğü bulunmaktadır.

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

1. a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. b) Kişisel verilerin hangi amaçla işleneceği,
3. c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

1. d) 11 inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlüdür.

Veri Sorumlusunun Veri Güvenliğine İlişkin Yükümlülükleri

KVKK m. 12’ye göre veri sorumlusu olan şirketimizin veri güvenliği sağlama noktasında mevzuattan kaynaklanan yükümlülükleri bulunmaktadır:

(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

 (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. 

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. 

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. 

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesinde KVKK m. 4’te yer alan ilkeler haricinde aşağıdaki hususlar gözetilmektedir.

Öncelikle kişisel veriler, Kanun’un 5. ve 6. maddelerinde yer alan hükümler çerçevesinde işlenmektedir.

Bu verilerin özel nitelikli kişisel veri niteliği taşıması halinde işlenirken veri sorumlusu tarafından Kanunun öngördüğü kurallar çerçevesinde ilgilinin açık rızasının alındığı ya da ilgili Kanunların öngördüğü hallerde işlenmektedir.

Verilerin Saklanması Ve İmhasına İlişkin Açıklamalar

Veri sorumlusu olan şirket tarafından çalışan, çalışan adayı, tedarikçi yetkilisi ve ürün veya hizmet alan kişi olarak ilişkide bulunulan üçüncü kişilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Saklama ve imhaya politikasına ilişkin açıklamalar şu şekildedir:

Kişisel Veriyi Saklamaya İlişkin Açıklamalar

KVKK’nın 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Kanunda yer alan hükümlere uygun olarak kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

Kişisel Veriyi Saklamayı Gerektiren Hukuki Sebepler

Şirket, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. 

Bu kapsamda kişisel veriler; 

• 6698 sayılı Kişisel Verilerin Korunması Kanunu, 
• 6098 sayılı Türk Borçlar Kanunu, 
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 
• 6563 Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 
• 6102 sayılı Türk Ticaret Kanunu, 
• 3308 sayılı Mesleki Eğitim Kanunu, 
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 
• 4857 sayılı İş Kanunu,
• 2828 sayılı Sosyal Hizmetler Kanunu, 
• 213 sayılı Vergi Usul Kanunu, 
• 6502 sayılı Tüketicinin Korunması Hakkında Kanun, 
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik.

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır. Kanunlarda süre öngörülmediği hallerde ilgili veriye olan ihtiyacın ortadan kalkmasına müteakip uygun en kısa sürede imha edilene kadar veri saklanmaktadır. 

Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar: 

• İnsan kaynakları süreçlerini yürütmek, 
• Çalışanlar için İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
• Tedarikçi ve Hizmet/Ürün Alanlar ile alım ve satış süreçlerini yürütebilmek,
• Şirket içi ve dışı iletişimi sağlamak, 
• Şirket güvenliğini sağlamak,
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek, 
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak, 
• Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak, 
• Mevzuata uygun davranmak ve yasal raporlamalar yapmak, 
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

Teknik Ve İdari Tedbirler

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK m.12 ve m.6/4 özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler alınır. Bunlar çerçevesinde veri sorumlusu olan Şirketimiz tarafından teknik ve idari tedbirler alınmaktadır.

Teknik Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıdaki gibidir:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmakta, erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır. 
• Erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır. 
• Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır. 
• Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirilmektedir.
• Bilgi sistemleri güncel halde tutulmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. 
• Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır. 
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Şifreleme yapılmaktadır.

İdari Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdaki gibidir:

• Çalışanların niteliği ve teknik bilgi/becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında bilgilendirmeler yapılmaktadır. 
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik disiplin prosedürü uygulanmaktadır.
• İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Çalışanlara yönelik bilgi güvenliği hakkında bilgi verilmektedir.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.

KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ

Tablo 4

Verinin İmhasını Gerektiren Sebepler

KVKK’nın 5. maddesine göre bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinecek, yok edilecek veya anonim hale getirilecektir. Kişisel veriler; 

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, 
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, 
• KVKK’nın 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi, 
• Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, 
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

KİŞİSEL VERİ İMHA YÖNTEMLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir. Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te yer alan 7. Maddeye göre bu işlemlerde uygulanması gereken temel ilkeler şunlardır: 

Madde 7 –(1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

(4) (Değişik:RG-28/4/2019-30758) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

(5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

İmha konusundaki eylemlerin adlandırılması ve tanımları da aşağıdaki şekildedir:

Kişisel Verilerin Silinmesi

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik 

Madde 8– (1)Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 Tablo 4

Kişisel Verilerin Yok Edilmesi

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Madde 9 – (1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 Tablo 5

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Madde 10 – (1) Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilme yöntemi; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir. Şirket tarafından yukarıda belirtildiği şekilde anonimleştirme yapılmaktadır.

Kişisel Verileri Resen Silme, Yok Etme Veya Anonim Hale Getirme Süreleri

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Madde 11 – (1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez.

Şirketimiz Veri Sorumlusu sıfatıyla gerçekleştirmesi gereken imha işlemleri için periyodik süreleri altı ay olarak belirlenmiştir.

Kişisel Verileri İlgili Kişinin Talep Etmesi Durumunda Silme Ve Yok Etme Süreleri

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Madde 12 – (1) İlgili kişi, Kanunun (Değişik ibare:RG-28/4/2019-30758) 11’inci ve 13’üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

1. a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
2. b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
3. c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Şirketimiz Veri Sorumlusu olarak şirketimize ulaşan talepleri otuz gün içinde sonuçlandırmaktadır.

İnternet Sitemiz:

www.geochemm.com

Mail Adresimiz:

info@geochemm.com 

yagizaltunal@www.geochemm.com 

İletişim Adresimiz:

+90 256 212 43 63

Adresimiz:

Ata Mah. Tralles Bul. Astis Koop. Sit. No:19/B Efeler/AYDIN 

(Son Güncelleme Tarihi 01/04/2026)