

OKYANUS MUTFAK EŞYALARI SAN. VE DIŞ TİC.LTD.ŞTİ.
KİŞİSEL VERİLERİN İŞLENMESİ SAKLANMASI VE İMHA POLİTİKASI
A.1. Amaç
Okyanus Mutfak Eşyaları San. Ve Dış Tic Ltd. Şti (“Okyanus”) ‘ un , veri sorumlusu sıfatıyla hazırladığı, “Kişisel Verilerin işlenmesi , saklanması ve İmha Politikası” nın temel amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu(“Kanun”) uyarınca kişisel verilerin hukuka ve Kanun’un amacına uygun olarak işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda şirket paydaşları, şirket yetkilileri, şirket iş ortakları, çalışan adaylarımız, ziyaretçilerimiz, şirket müşterileri, potansiyel müşterileri başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirmektir. Bu şekilde şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir.
A.2. Kapsam
Kişisel Verilerin işlenmesi , Saklanması, İmha Politikası (“Politika”); Okyanus Mutfak Eşyaları San. Ve Dış Tic Ltd. Şti (“Okyanus”) ‘ un , Kişisel Verileri işlediği herhangi bir sürece dahil olan tüm departmanlarını, çalışanlarını ve 3. Kişileri kapsamaktadır. Bu Politika , tüm imha faaliyetlerini kapsayacak olup, her türlü İmha gereksinimi sonucunda uygulanacaktır.
Konuyla alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Okyanus Politika ‘sını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.
İşbu Politika’nın Okyanus tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Okyanus uygulayacağı adımları gerek görülmesi durumunda yeniden belirleyebilecektir
.
A.3. Kanunda Bahsedilen Terimler ve Tanımları
Şirket/ Şirketimiz: Okyanus Mutfak Eşyaları San. ve Dış Tic Ltd. Şti . (Okyanus) ’dir.
Kişisel Veri/Veriler: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Özel Nitelikli Kişisel Veri/Veriler: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel Veri Sahibi / İlgili Kişi : Şirket Paydaşlarını, Şirket İş Ortaklarını, Şirket Yetkililerini, Çalışan Adaylarını, Ziyaretçileri, Şirket ve Grup Şirket Müşterilerini, Potansiyel Müşterileri, Üçüncü Kişileri ve kişisel verisi şirket tarafından işlenen kişileri ifade eder.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini ifade eder.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Alıcı gurubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Veri Envanteri : Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Veri İşleme faaliyetlerini; Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı Alıcı Grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Verilerin İşlendiği amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel verilerin İmha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Kişisel verilerin anonim hale getirilmesi: Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin işlenmesi , saklanması ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikadır.
Kanun- KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Yönetmelik : Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’i ifade etmektedir
KVK Kurulu: Okyanus bünyesinde oluşturulan Kişisel Verileri Koruma Kurulu’dur.
A.4. Saklı Hükümler
6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel verileri ilgilendiren diğer kanunlar, tüzük ve yönetmeliklerde yer alan ve halen yürürlükte olan veya ileride değiştirilecek olan hükümlerin, bu yönetmelikçe düzenlenmeyen konulara ilişkin olanları saklıdır.
Okyanus , kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Okyanus’un Politikası’na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır
B.1. KİŞİSEL VERİLERİN İŞLENMESİ VE İMHASINI GEREKTİREN SEBEPLER
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış ve 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
B.1.a. Kişisel Verileri Saklamayı Gerektiren işleme amaçları
Şirket gerçekleştirmiş olduğu faaliyetler çerçevesinde işlemekte olduğu kişisel verileri hukuka uygunluk içerisinde aşağıdaki amaçlar doğrultusunda saklamaktadır;
B.1.b. Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler
Şirkette, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 4982 Sayılı Bilgi Edinme Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun, 4857 sayılı İş Kanunu, 2828 sayılı Sosyal Hizmetler Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, Arşiv Hizmetleri Hakkında Yönetmelik, uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde hukuka uygun bir şekilde saklanmaktadır.
B.1.c. Kişisel Verilerin İmhasını gerektiren Sebepler
B.2. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ
Kişisel Verilerin İmhası, verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Okyanus , kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
KVKK’da yer alan kişisel verileri işleme şartlarının ortadan kalkması veya bu faaliyetlerin son bulması, ilgili verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini gerektirmektedir. Bu sebeple, Yönetmelik’in 12. maddesine istinaden veri sorumlusunun kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, işleme şartları ortadan kalkan kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü bulunmaktadır.
Okyanus , kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. Okyanus , organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.
Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
kaydıyla kişisel veriler silinmiş sayılacaktır.
B.2.a. Kişisel Verilerin Silinmesi
Kişisel Verilerin Silinmesi ; kişisel verilerin İlgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir
Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin İlgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri Sorumlusu, ilgili politika ve talimatlarda , kişisel verilerin Silinmiş sayılması için Yönetmelik madde 7(3)’te belirtilen koşulların nasıl sağlandığını açıklar. Herhangi bir Veri Kayıt Sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen Kişisel Verilerin silinmesi; tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kağıt halindeki gerekli olmayan Kişisel Verilerin Anonim Hale Getirilmesi yoluyla gerçekleştirilme işlemi, Okyanus’un verileri tamamen veya otomatik yollarla işlediği durumlarda yapılır ve Okyanus, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir . Okyanus bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder. Bu garanti, Okyanus’un sorumluluğu altındadır.
Belirtilen silme yöntemleri, Yönetmelik’e bağlı olup ilgili durumlarda güncellenmesi Okyanus’un sorumluluğundadır.
III.2.b. Kişisel Verilerin Yok Edilmesi
Yok Etme işlemi, Okyanus’un verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Okyanus bu verileri erişilemeyecek, tekrar kullanılamayacak ve tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.
Yok Etme işlemleri sırasında Okyanus çalışanları ve ilgili departmanlar Kurul’a yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Okyanus gerekli her türlü teknik ve idari tedbiri alacaktır.
B.2.c. Kişisel Verilerin Anonim hale getirilmesi
Anonim Hale Getirme işlemi, Okyanus ‘un Kişisel Verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Anonim Hale Getirilmesi Okyanus içerisinde veri sahibi iş biriminin görevidir. Veri sahibi iş birimi, verilerin Yok Edilmesi için denetimi kendisi tarafından yapılmak kaydıyla Okyanus’un farklı departmanlarından destek alabilir.
Kişisel Verilerin Anonim Hale Getirilmesi sırasında Okyanus, işbu Politika kapsamında belirtilen yöntemleri kullanabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı durumlarda Kurul’a danışılmalıdır.
C . KİŞİSEL VERİLERİN İŞLENMESİ , SAKLANMASI VE İMHASI İÇİN ALINAN TEDBİRLER
Okyanus, kişisel verilerin hukuka uygun şekilde saklanması, işlenmesi ve erişimini sağlamak için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetlerine göre teknik ve idari tedbirler almaktadır.
C.1. Teknik Tedbirler
Okyanus tarafından kişisel verilerin hukuka aykırı saklanması, işlenmesi ve erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
C.1. a.Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
C.1. b. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak yetki matrisi oluşturulmuş, kişisel hesap yönetimi sistemi kurulmuş ve şifreleme sistemleri aktive edilmiştir.
Bu kapsamda virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve donanımlar kurulmakta, log kayıtları tutulmakta, düzenli yedeklemeler yapılmaktadır.
C.1. c. Ağ güvenliğini sağlamak için gerekli yazılım ve donanım kurulmakta, yetki kontrolleri ve sızma testleri 6 aylık aralıklarla gerçekleştirilmektedir. Bu kapsamda güvenlik duvarları ve saldırı tespit ve önleme sistemleri kullanılmaktadır.
C.1. d. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği Kurul’a raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
C.1. e. Açık Rıza alınmayan ve kanuni istisnalar arasına girmeyen veriler maskelenerek kullanılmaktadır
C.1. f.Teknik konularda bilgili personel istihdam edilmekte ve bu kişiler kurulmuş olan kurulun daimi üyesi yapılmaktadır.
C.2. İdari Tedbirler
Okyanus, tarafından kişisel verilerin hukuka aykırı saklanması, işlenmesi ve erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
C.2.a.Okyanus, çalışanlarını Kişisel Verileri Koruma mevzuatı kapsamında bilgilendirmiş ve bu konuda gerekli eğitimlerden geçirmiştir. Çalışanlar ile, öğrendikleri kişisel verileri KVK Düzenlemelerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda gizlilik sözleşmesi imzalanarak Kişisel Verilerin korunması adına gerekli taahhütler alınmıştır. Bu kapsamda çalışan iş sözleşmeleri ve disiplin yönetmeliklere Kanun’a uygun hükümler eklenmiştir. Şirket içi organizasyonlarında, bu taahhütlere ve sair gizlilik yükümlülüklerine uyulmaması durumunda işletilecek disiplin süreçlerini hazırlamıştır.
C.2.b.Okyanus çalışanlarını 6 aylık aralıklarla bilgilendirmeye devam edeceğini ve bilgilerini güncel tutacağını taahhüt etmektedir.
C.2.c. Saklanan kişisel verilere Şirket içi erişim iş tanımı gereği erişmesi gerekli personel ile sınırlandırılmıştır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınmıştır.
C.2.d. Okyanus, tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
C.2.e.Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında Politika kapsamında gerekli düzenlemeleri yapmıştır . Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınmıştır.
C.2.f.Veri Envanteri hazırlanmış ve Kişisel Verilerin işlenmesi, muhafazası ve aktarılmasına ilişkin sözleşmelerde gerekli hükümlere yer verilmiştir
C.2.g.Kurum İçi haberli ve habersiz denetimler için gerekli hazırlıklar yapılmıştır. Risk Analizleri gerçekleştirilerek gerekli önlemler alınmıştır.
C.2.h. İhlal durumunda kurumsal iletişim ve bilgilendirme süreçleri Politika’da belirlenmiştir.
C.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Okyanus , KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde oluşturduğu kurul aracılığı ile gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Veri sahiplerine ait kişisel veriler, Okyanus tarafından aşağıdaki tabloda listelenen ortamlarda
başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği
prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Kişisel Verilerin İmhası için Okyanus , imha sırasında kullanılabilecek tüm yöntemleri Politika’da tanımlar. Veri sahibi iş birimi, Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.
E.1. Silme
Kişisel Verilerin Silinmesi sırasında Okyanus çalışanları aşağıdaki yöntemlerden uygun olanı seçerek silme işlemini gerçekleştirir:
E.1.a. Bulut Sistemleri
Bulut sistemleri üzerinde tutulan Kişisel Verilerin yok etme bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından Kişisel Verilerin şifreleme anahtarlarının tüm kopyalarının İmha edilmesi işlemidir.
Bulut sisteminde bulunan veriler silme komutu verilerek Silinir. Okyanus anılan işlemi gerçekleştirilirken İlgili Kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat eder.
Kağıt ortamında bulunan Kişisel Veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki Kişisel Verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak İlgili Kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
Dosya işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde İlgili Kullanıcının erişim hakları kaldırılır. Anılan işlem gerçekleştirilirken İlgili Kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilir.
Flash tabanlı saklama ortamlarındaki Kişisel Veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.
Kişisel Verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem gerçekleştirilirken İlgili Kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.
E.2. Yok Etme
Yok Etme işlemi, Okyanus’un verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Okyanus bu verileri erişilemeyecek, tekrar kullanılamayacak ve tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.
Yok Etme işlemleri sırasında Okyanus çalışanları ve ilgili departmanlar Kurul ‘a yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Okyanus gerekli her türlü teknik ve idari tedbiri alacaktır.
Kişisel Verilerin Yok Edilmesi sırasında , aşağıdaki yöntemlerden uygun olanı seçilerek Yok Etme işlemi gerçekleştirir:
E.2. a. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.
E.2. b. Manyetize Etme
Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
E.2. c. Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.
E.2. d. Bulut Sistemleri
Bulut sistemleri üzerinde tutulan Kişisel Verilerin yok etme bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından Kişisel Verilerin şifreleme anahtarlarının tüm kopyalarının İmha edilmesi işlemidir.
E.2. e. Çevresel Sistemlerde Yer Alan Kişisel Verilerin Yok Edilmesi
Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan ve Kişisel Verileri barındıran, mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken yok etme işlemidir. Bu tip yok etme işlemlerinin, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.
E.2. f. Kağıt ve Mikrofiş Ortamlarında Yer Alan Kişisel Verilerin yok edilmesi
Söz konusu ortamlardaki Kişisel Veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortam yok edilir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan Kişisel Verilerin ise bulundukları elektronik ortama göre yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
E.3. Anonim Hale Getirme
Anonim Hale Getirme işleminin uygulanması sonucunda elde edilen veriler İlgili kişinin kimliğinin saptanabilmesini engeller veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybeder.
Okyanus, bir Kişisel Verinin Silinmesi ya da yok edilmesi yerine anonim hale getirilmesine karar vermesi durumunda aşağıdaki şartları yerine getirir:
Yukarıda sayılan riskler sebebiyle Okyanus, Anonim Hale Getirdiği veri kümeleri üzerinde düzenli kontroller yapar ve anonimliğin korunduğundan emin olur.
Aşağıda belirtilen Anonim Hale Getirme yöntemleri uygulanırken Okyanus tarafından verinin niteliği, büyüklüğü, fiziki ortamlarda bulunma yapısı, çeşitliliği, sağlanmak istenen fayda / işleme amacı, işleme sıklığı, aktarılacağı tarafın güvenilirliği dikkate alınır.
Bir veriyi Anonim Hale Getiren Okyanus, Kişisel Veriyi aktardığı diğer kurum ve kuruluşların bünyesinde olduğu bilinen ya da kamuya açık bilgilerin kullanılması ile söz konusu verinin yeniden bir kişiyi tanımlar nitelikte olup olmadığını, yapacağı sözleşmelerle ve risk analizleriyle kontrol eder.
Kişisel Verilerin Anonim Hale Getirilmesi sırasında Okyanus çalışanları aşağıdaki yöntemlerden uygun olanı seçerek Anonim Hale Getirme işlemini gerçekleştirir:
E.3. a. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlamayan yöntemlerde veri kümesinin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılır
Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir Anonim Hale Getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır.
Bu yöntemde ise veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür
Bölgesel gizleme yönteminde de amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.
İlgili Kişisel Veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Genelleştirme işlemi sonucunda elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.
Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir.
Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.
Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.
E.3. b. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak; mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Bu durumda kayıtların taşıdığı değerler değişmekte olduğundan veri kümesinden elde edilmesi planlanan faydanın doğru hesaplanması gerekmektedir. Veri kümesindeki değerler değişiyor olsa bile toplam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir.
Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.
Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.
Bu yöntem ile seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkarmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.
Okyanus Kanun’da, KVK Düzenlemelerinde ve bu Politikada yer verilen Kişisel Veri güvenliği yükümlülüklerinin ihlali durumlarında izlenecek prosedürü bu Politika kapsamında düzenlemiştir.
F.1. Şirket Bünyesinde Gerçekleşen İhlaller
Bir Okyanus çalışanı herhangi bir ihlal tespit etmesi veya olası bir ihlalle karşılaşması durumunda ilgili departman yöneticisini durumdan derhal haberdar eder, ihlalin nasıl farkına varıldığı ve nereden kaynaklandığı konusunda departman sorumlusunu bilgilendirir. Departman yöneticisi ihlali devam ediyorsa durdurmak ve sona ermişse boyutunu tespit etmek adına ilk önlemleri alır ve Kurul başkanını durumdan haberdar eder. Başkan, ihlal karşısında önlem alması için İdari ve Mali işler departmanından destek alır ve hukuk departmanı ile iletişime geçer. Başkan, Kurulu ihlalin tespitini takip eden 24 saat içerisinde toplar; ihlalin boyutu, kapsamı ve sonuçlarını raporlayarak Yönetim Kurulu ile paylaşır.
F.2. Üçüncü Kişiler Bünyesinde Gerçekleşen İhlaller
Kurul Başkanı, Okyanus’un çalıştığı üçüncü bir kişinin herhangi bir ihlal tespit etmesi veya olası bir ihlalle karşılaşması durumunda, haber verilmesini takip eden 12 saat içerisinde hukuk departmanı ve gerekiyorsa Mali işler departmanı ile iletişime geçer. Başkan, Kurulu haber verilmesini takip eden 24 saat içerisinde toplar; ihlalin boyutu, kapsamı ve sonuçları hakkında karşı taraftan elde ettiği bilgileri raporlayarak Yönetim Kurulu ile paylaşır.
G.1.Periyodik İmha ve Yasal Saklama Süreleri
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Okyanus’un belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Okyanus’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.
Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Okyanus tarafından seçilir.
G.2. Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci
İlgili kişi Okyanus’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Okyanus talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir.
Okyanus , talebin niteliğine göre talebi en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi halinde, Okyanus tarafından belirlenen tarifedeki ücret alınacaktır.
Bu kapsamda kişisel veri sahipleri olarak başvurunuzu;
Bu kapsamda kişisel veri sahiplerinin hakları ;
G.3. Kişisel Veri Tanımları ve Saklama İmha Süresi Tablosu
Veri Sahibi (Çalışan Adayı) | İşlenen Veri | Kişisel Veriyi İşleme Amacı | Saklama Süresi | İmha Süresi |
***Okyanus Çalışan Adayları için “Çalışan Adayı Aydınlatma Metni “yayımlanmış olup, Yükümlülükler ve çalışan adaylarının hakları detaylı olarak tanımlanmıştır. İş Başvuruları sebebiyle , yüz yüze yapılan mülakatlar esnasında gerekli bilgilendirme yapılmaktadır. | ||||
Kimlik Bilgileri | İsim ve Soy isim | Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi, Saklama ve Arşiv Faaliyetlerinin Yürütülmesi, sözleşme Süreçlerinin Yürütülmesi | 2 yıl süre ile saklanır. | Saklama süresinin sona ermesinden sonra 6 ay |
İletişim ilgileri | E-Posta Adresi, | Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi | 2 yıl süre ile saklanır. | Saklama süresinin sona ermesinden sonra 6 ay |
Özlük Bilgileri | Özgeçmiş Bilgileri, | Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, Görevlendirme Süreçlerinin Yürütülmesi, Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi,Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi | 2 yıl süre ile saklanır. | Saklama süresinin sona ermesinden sonra 6 ay |
Mesleki Deneyim bilgileri | Diplomalar ve Sertifikalar, | Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması ve verdiğiniz izne istinaden gelecekte açılabilecek pozisyonlara yönelik insan kaynakları faaliyetlerini yürütmek | 2 yıl süre ile saklanır. | Saklama süresinin sona ermesinden sonra 6 ay |
Referans Bilgileri | İsim ve Soy isim, | Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, Denetim ve Etik Faaliyetlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması | 2 yıl süre ile saklanır. | Saklama süresinin sona ermesinden sonra 6 ay |
Kişisel Verilerin İşlenmesinin Hukuki Sebepleri | Kişisel verileriniz, Okyanus tarafından yukarıda sayılan amaçların gerçekleştirilmesi doğrultusunda, ilgili mevzuat ve KVKK’nın 5’inci maddesinde belirtilen;
hukuki sebeplerine dayanılarak işlenmektedir.
| |||
Kişisel Verileri Toplama Yöntemleri | Yukarıda belirtilen kişisel verileriniz, tarafınızca gönderilen özgeçmişler, İş başvurusu Formunuz, Özel istihdam büroları (Kariyer.net, Yenibiris.com, LinkledIn vb. dahil) vasıtasıyla toplamaktayız. |
Veri Sahibi (Stajyer Adayları) | İşlenen Veri | Kişisel Veriyi İşleme Amacı | Saklama Süresi | İmha Süresi |
Kimlik Bilgileri | İsim ve Soy isim | Stajyer Adaylarının Başvuru Süreçlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi, Saklama ve Arşiv Faaliyetlerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi | Staj ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir. | Saklama süresinin sona ermesinden sonra 6 ay |
İletişim ilgileri | E-Posta Adresi, | Stajyer Adaylarının Başvuru Süreçlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi | Staj ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir. | Saklama süresinin sona ermesinden sonra 6 ay |
Özlük Bilgileri | Özgeçmiş Bilgileri, | Stajyer Adaylarının Başvuru Süreçlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması,Faaliyetlerin Mevzuata Uygun Yürütülmesi, Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi | Staj ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir. | Saklama süresinin sona ermesinden sonra 6 ay |
Mesleki Deneyim bilgileri | Diplomalar ve Sertifikalar, | Stajyer Adaylarının Başvuru Süreçlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması ve verdiğiniz izne istinaden gelecekte açılabilecek pozisyonlara yönelik insan kaynakları faaliyetlerini yürütmek | Staj ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir. | Saklama süresinin sona ermesinden sonra 6 ay |
Referans Bilgileri | İsim ve Soy isim, | Stajyer Adaylarının Başvuru Süreçlerinin Yürütülmesi, Denetim ve Etik Faaliyetlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması | Staj ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on) yıl müddetle muhafaza edilir. | Saklama süresinin sona ermesinden sonra 6 ay |
Kişisel Verilerin İşlenmesinin Hukuki Sebepleri | Kişisel verileriniz, Okyanus tarafından yukarıda sayılan amaçların gerçekleştirilmesi doğrultusunda, ilgili mevzuat ve KVKK’nın 5’inci maddesinde belirtilen;
hukuki sebeplerine dayanılarak işlenmektedir.
| |||
Kişisel Verileri Toplama Yöntemleri | Yukarıda belirtilen kişisel verileriniz, tarafınızca gönderilen özgeçmişler ve doldurduğunuz staj başvuru formu vasıtasıyla toplanmaktadır. |
Veri Sahibi (çalışanlar)
| İşlenen Veri | Kişisel Veriyi İşleme Amacı | Saklama Süresi | İmha Süresi |
***Okyanus Çalışanları için “Çalışan Aydınlatma Metni “yayımlanmış olup, Yükümlülükler ve çalışan hakları detaylı olarak tanımlanmıştır. İş sözleşmesi esnasında ve çalışma süresi boyunca çalışanın “ Çalışan Aydınlatma Metni” ne ulaşması sağlanmıştır. | ||||
Kimlik Bilgileri | İsim ve Soy isim | Çalışanların , İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi, Saklama ve Arşiv Faaliyetlerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi | Hizmet akdinin devamında ve bitiminden itibaren 10(on) yıl müddetle muhafaza edilir. | Saklama süresinin sona ermesinden sonra 6 ay |
Bakmakla Yükümlü Olduğu Kişi Bilgileri | Evlilik cüzdanı; eş ve çocuklarının adı, soyadı, T.C. Kimlik Numarası cinsiyeti, doğum tarihi, görevi, telefon numarası, iletişim kurulabilecek yakınlarının adı, soyadı ve telefon numarası | Çalışanların , İletişim Faaliyetlerinin Yürütülmesi, maaş bordro Faaliyetlerinin Yürütülmesi, Saklama ve Arşiv Faaliyetlerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi | Hizmet akdinin devamında ve bitiminden itibaren 10(on) yıl müddetle muhafaza edilir. | Saklama süresinin sona ermesin Metalife markasının kuşaklar boyu devamlılığını ve uluslararası tanınan marka haline gelmesini sağlamak üzere ürünlerimizi yurtiçi ve yurtdışı piyasalara sunuyoruz ve ülke ekonomimize güç katıyoruz |