1. AMAÇ
İşbu Politika’nın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 ve 12’nci maddeleri ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve “Veri Sorumluları Sicili Hakkında Yönetmelik” uyarınca, işveren tarafından veri sorumlusu olarak elde edilen ve işlenen kişisel verilerin fiziki veya elektronik ortamlarda saklanmasına, güvenliğinin sağlanmasına ve imhasına ilişkin Şirket içi usul ve esasların belirlenmesi, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin Kişisel Veri İşleme Envanteri’nde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi amacıyla hazırlanmıştır.
2. TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Çalışan: Bir sözleşme kapsamında çalışan tüm çalışanları, kursiyerleri ve stajyerler ile yönetim kurulu üyeleri ve taşeron işçileri kapsar.
Çalışan Adayı: Şirket’e herhangi bir yöntemle iş başvurusunda bulunan veya işe alım platformları aracılığıyla özgeçmişleri elde edilen kişileri kapsar.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları ifade eder.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları ifade eder.
İlgili Kişi/ Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
İmha: Kişisel verilerin silinmesini, yok edilmesi veya anonim hale getirilmesini ifade eder.
İmha Yönetmeliği: 28/10/2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”i ifade eder.
İşyeri Hekimi: 6331 sayılı İş Sağlığı ve Güvenliği Kanunu m.8 ve İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmelik’te niteliği ve görevleri belirlenen işyeri hekimini ifade eder.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Veri İşleme Envanteri: Şirket tarafından İmha Yönetmeliği ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca hazırlanan ve Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini, kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanteri ifade eder.
Kişisel Verilerin İşlenmesi: Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul: Kişisel Verileri Koruma Kurulunu ifade eder
KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Müşteri: Şirket’in hizmetlerinden yararlanan gerçek kişiler ile bu hizmetlerden yararlanan tüzel kişilerin ortak veya yöneticilerini ifade eder.
Ortak: Şirket’in gerçek kişi ortakları ile gerçek veya tüzel kişi ortakları genel kurulda temsil eden gerçek kişileri ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
Periyodik İmha: KVK Kanunu’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
Politika: Kişisel Verileri Saklama ve İmha Politikası’nı ifade eder.
Şirket: Aydın Göz Sağlığı Hizmetleri Turizm Ticaret Limited Şirketi’ni ifade eder.
Tedarikçi/ Hizmet Sağlayıcı: Şirket’in dışarıdan sair hizmetler/ürünler almakta olduğu ya da ileride hizmet/ürün alabileceği veya iş ortaklığına giriştiği gerçek kişi tedarikçiler ile tüzel kişi tedarikçilerin ortak ve yöneticilerini ifade eder.
TBK: 6098 sayılı Türk Borçlar Kanunu’nu ifade eder.
TTK: 6102 sayılı Türk Ticaret Kanunu’nu ifade eder.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.
Veri Sorumluları Sicili Yönetmeliği: 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan “Veri Sorumluları Sicili Hakkında Yönetmelik’i ifade eder.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi’ni ifade eder.
Ziyaretçi: Şirket’in ofis veya diğer fiziksel ortamlarına giriş yapan, Şirket’in internet sitesini veya benzeri elektronik ortamlarını ziyaret eden veya Şirket’in kablosuz internet hizmetinden faydalanan kişileri ifade eder.
1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, Şirket bünyesinde, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
2. SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
Şirket, faaliyetleri çerçevesinde kişisel verilerinizi, Şirketimizin ticari iş ve stratejilerinin belirlenmesi ve uygulanması, Şirketimiz tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi, insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi, satış sonrası destek hizmetleri ile yükümlülüklerinin, müşteri memnuniyetinin, kurumsal iletişim faaliyetlerinin, müşteri ilişkileri ile müşteri talep ve şikayetlerinin yönetimi süreçlerinin planlanması ve icrası; iş sürekliliğinin sağlanması faaliyetlerinin planlanması veya icrası; sözleşme süreçlerinin veya hukuki taleplerin takibi; finans veya muhasebe işlerinin takibi; kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası; iş ortakları, ilaç depoları veya tedarikçilerle yürütülen işlerin icrası ve ilişkilerin yönetimi; ürün ve hizmetlerin satış, pazarlaması ve tanıtımı süreçleri ile pazar araştırması, beğeni kullanım ve hizmet anlayışının tespiti ve özelleştirilmesi faaliyetlerinin planlanması ve icrası; Şirket tarafından sunulan ürün ve hizmetlerden müşterileri faydalandırmak için gerekli çalışmaların yapılabilmesi, veri sahiplerinin açık rızası doğrultusunda bilgilendirme ve tanıtım e-postaları atarak hizmetlerimizle ilgili son gelişmelerden haberdar etmek, mevzuat kapsamındaki hukuki yükümlülüklerin yerine getirilmesi, Şirketin tüm lokasyonlarında fiziki mekân ve iş güvenliğinin sağlanması, Şirket’in taraf olduğu iş, hizmet, satım, vekâlet, eser ve sair sözleşmeler ve mevzuattan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
3. İMHAYI GEREKTİREN HUKUKİ SEBEPLER
Kişisel veriler;
1. TEKNİK TEDBİRLER
2. İDARİ TEDBİRLER
Şirket, kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için aşağıdaki idari tedbirleri uygulamaktadır:
1. KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ
Kişisel veriler, aşağıdaki belirtilen sürelerle saklanır.
Veri Türü | Saklama Şekli | İmha | |
Şirket Çalışan Verisi | İlgili sözleşme süresi boyunca Şirket bünyesinde saklanır. Sözleşmenin sona ermesinden itibaren 10 Yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde. | |
Şirketin Eski Çalışan Verisi | Sağlık verileri 15 YIL Diğer veriler 10 YIL | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |
Şirkete Başvuran Aday Verisi | 2 YIL | Derhal imha. | |
Hasta Verisi | En az 20 YIL | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |
Müşteri Verisi (güvenlik sebebiyle alınan kayıtlar) Çalışan Verisi (güvenlik sebebiyle alınan kayıtlar) | CCTV – 2 Ay Log Kayıtları - 10 YIL Olay Tutanakları- 10 YIL | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |