Bilgi Toplumu Hizmetleri

Amaç

Bu politika, Maflog Lojistik tarafından hukuka uygun bir biçimde yürütülen veri saklama ve imhasına yönelik benimsenen yöntemler konusunda açıklamalarda bulunmak ve tüm ilgili tarafların bilgilendirilmesi amacı ile oluşturulmuştur.

Kapsam

Bu politika, Maflog Lojistik ile bağlantılı tüm ilgili tarafların otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, elektronik ortamda ya da basılı dokümanlarla işlenen tüm kişisel verilerini kapsamaktadır.

Sorumluluk

Bu politikanın kontrolünden Genel Müdür ve İnsan Kaynakları Yöneticisi, uygulanmasından ve dokümanların muhafazasından Maflog Lojistik içindeki tüm bölümler sorumludur.

Tanımlar ve Kısaltmalar

Tanımlar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Hizmet Sağlayıcısı: Maflog Lojistik‘ nın Ürün/hizmet aldığı ve/veya verdiği şirket (tedarikçi, taşeron, müşteri vb.) çalışanı.

Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Korunması Kanunu: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Türkiye Cumhuriyeti Kanunu.

Özel Nitelikli Kişisel Veri: KVKK’nın 6. maddesinde tanımlanan nitelikteki veri.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Veri Sorumlusu: Kişisel verileri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu ve Veri Sorumluları Sicili’ne kayıt yaptırmakla yükümlü gerçek veya tüzel kişidir.

Kısaltmalar

Maflog Lojistik: Maflog Lojistik

KVKK: Kişisel Verilerin Korunması Kanunu

KVK Kurulu: Kişisel Verileri Koruma Kurulu

KVK Kurumu: Kişisel Verileri Koruma Kurumu

UYGULAMA

Maflog Lojistik, benimsemiş olduğu vizyon, misyon ve temel değerleri gereğince, idari iş süreçlerine bağlı olduğu mevzuatlar doğrultusunda yürütmek, çalışanlarına en iyi iş deneyimini sağlamak ve Türkiye’nin önde gelen  firmalarından biri olmak için teknolojik kaynak ve altyapıları da kullanarak kişisel ve özel nitelikli verileri işler. Verilerin işlenmesinde kanunun 4 maddesinde belirtilen ilkeler ve 12 maddesi gereği alınması gereken tedbirler göz önünde bulundurularak işlem yapılır. Kayıt saklama ortamları elektronik veriler için, bilişim sistemi sunucuları, uygulamaları, kurumsal bilgisayarı ve depolama ortamları ile birlikte basılı dokümanlar için ise fiziki arşivlerdir.

Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

  • İlgili kişiye ait veriler, Maflog Lojistik tarafından faaliyetlerinin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının planlanması, tedarikçilere sunulan hizmetlerin gerçekleştirilebilmesi, iş ortakları ile süreçlerin işletilebilmesi amacıyla fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve diğer ilgili yönetmelikte belirtilen sınırlar çerçevesinde saklanır. Saklamayı ya da imhayı gerektiren sebepler aşağıdaki gibidir:
  • Mevzuatta kişisel verilerin saklanmasının ya da imhasının açıkça öngörülmesi,
  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Maflog Lojistik‘ nın meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Maflog Lojistik‘ nın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  • Yönetmelik uyarınca, aşağıda sayılan hallerde kişisel ya da özel nitelikli kişisel veriler, Maflog Lojistik tarafından bağımsız olarak yahut ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir:
  • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  • Açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • İlgili kişinin, hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi ya da kurulun gereğinin yapılmasını belirtmesi.

Uygulanan Teknik ve İdari Tedbirler

  • Maflog Lojistik, bünyesinde kanunun 7’nci ve 12’nci maddesi göz önünde bulundurularak veri saklamada ve imhada teknik ve idari tedbirler alır. Alınan tedbirler aşağıda belirtildiği gibidir;

İdari Tedbirler

  • Maflog Lojistik bünyesinde bilgi güvenliği yönetim sisteminin kurulması ve işletilmesi,
  • Maflog Lojistik personelleri ve ilgili taraflar ile taahhütnameler ve gizlilik sözleşmelerinin imzalanması,
  • İş süreçleri üzerinde risk analizlerinin gerçekleştirilmesi,
  • Varlık ve kişisel veri envanterlerinin oluşturulması,
  • Bilgi güvenliği politika ve prosedürlerinin işletilmesi,
  • Bilgi güvenliği ve kişisel veri işleme faaliyetleri hakkında eğitimlerin düzenlenmesi ve değerlendirilmesi,
  • Kurum içi ya da bağımsız denetimler ile faaliyetlerin gözden geçirilmesi,
  • Yapılan işlemler için objektif delil üretecek kayıtların oluşturulması,

Teknik Tedbirler

  • Ağ ve uygulama hizmetleri kimlik doğrulama ile erişim gerçekleştirilmesi,
  • Ağ ve uygulama hizmetlerine erişimde şifreleme kullanılması,
  • Erişim kontrolü ve bilgiye erişim kısıtlamalarının uygulanması,
  • Zafiyet ve sızma testleri gerçekleştirilmesi,
  • Erişim kayıtlarının toplanması ve değerlendirilmesi,
  • Bilişim sistemlerinin kötü niyetli yazılımlara karşı uygulamalar aracılığı ile korunması.

Veri Silme, İmha Etme ve Anonim Hale Getirme

  • Maflog Lojistik, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Maflog Lojistik‘ nın kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu hususta ilgili kişi tarafından Maflog Lojistik’ ya başvurulması halinde;
  • İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlanır ve ilgili kişiye bilgi verilir,
  • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilir,
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Veri Silme

Maflog Lojistik ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Maflog Lojistik tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

Fiziksel Olarak Yok Etme

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

Yazılımdan Güvenli Olarak Silme

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Uzman Tarafından Güvenli Olarak Silme

Maflog Lojistik bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

Veri İmha

Elektronik ve basılı dokümanlarda işlenen veri fiziksel imha yöntemi (parçalama, kırpma) kullanılarak ortam tekrar kullanılamaz hale getirilir.

Veri Anonimleştirme

  • Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Maflog Lojistik, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
  • KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Maflog Lojistik tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. (Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.)

Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. (Örnek: Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.)

Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. (Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.)

Veri Karma

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. (Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.)

Veri Saklama, İmha Süreleri ve Sorumlulukları

Veri Saklama ve İmha Süreleri

  • Maflog Lojistik, KVKK’nın 7. maddesi ve 5237 sayılı Türk Ceza Kanunu’nun 138. maddesi uyarınca işlediği kişisel verileri yalnızca ilgili mevzuatta öngörülen veya mevzuatta bir süre öngörülmemiş ise kişisel veri işleme amacının gerektirdiği süre kadar muhafaza eder. Tutulan veriler verinin tutulma amacı sona erdikten sonra silinecek olup, bu süre ortalama olarak 2 yıl belirlenmekle birlikte mevzuat olarak daha uzun süre öngörülen veriler mevzuatta belirtildiği süreyle sistemde kalmaya devam edecektir.
  • Bu sebeple her bir kişisel veri için ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süreye ilişkin farklı bir muhafaza süresi geçerli olabilmektedir. (Örneğin; 213 sayılı Vergi Usul Kanunu 253. maddesi uyarınca defter ve vesikalar 5 yıl süre ile muhafaza edilmelidir.)
  • Diğer bir örnek ise 15 Temmuz 2015 tarihli ve 29417 sayılı Resmi Gazetede yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik uyarınca, kişisel verilerin pazarlama veya tanıtım amaçları için kullanılacağına ilişkin ilgili kişi onayının geri alındığı durumlarda, kişisel verilerin kayıtları bu tarihten itibaren 1 yıl saklanmalıdır. Ticari elektronik iletinin içeriği ve gönderiye ilişkin diğer her türlü kayıt ise gerektiğinde ilgili bakanlığa sunulmak üzere 3 yıl saklanacaktır.
  • Diğer yandan, bir veri birden fazla amaç için de işlenmiş olabilir ve böyle bir durumda ilgili verinin işlenmesine neden olan tüm nedenler ortadan kalktığında ilgili veri silinir, yok edilir veya anonim hale getirilerek muhafaza edilir.

Veri Saklama ve İmha Sorumluları

Maflog Lojistik veri saklama ve imha sorumluları, sorumluların görevleri aşağıda sıralanmaktadır.

Birim Yöneticisi

Veri saklama ve imha işlemlerini gerçekleştirmek ya da gerçekleştirilmesini sağlanmak,

Bilgi İşlem Yöneticisi

Biriminde veri saklama ve imha işlemlerini gerçekleştirmek ve ilgili birimlerin veri saklama ve imha işlemlerinin gerçekleştirilmesine destek vermek,

Üst Yönetim

Maflog Lojistik bünyesinde veri saklama ve imha işlemlerinin uygun gerçekleştirildiğinin denetlemek ya da denetlenmesini sağlamak,

Veri Muhafazasına İlişkin Alınan Tedbirler

  • KVKK ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olan kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde doğrudan veya ilgili kişinin talebi üzerine Maflog Lojistik tarafından, bu verilerin hiçbir şekilde kullanılmayacak ve geri getirilmeyecek şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Kişisel verilerin hukuka uygun olarak yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar KVKK uyarınca çıkarılacak olan yönetmelikte belirtilecek ilke ve kurallara uygun şekilde yerine getirilecektir.
  • Teknik açıdan alınan tedbirler:
  • Maflog Lojistik tarafından kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesine ilişkin gerekli sistemler ve denetim mekanizmaları oluşturulur. İdari açıdan alınan tedbirler: Maflog Lojistik, KVKK’ dan kaynaklanan sorumluluk ve yetkiye dayanarak Maflog Lojistik adına kişisel verileri işleyen gerçek veya tüzel kişileri kişisel verilerin hukuka uygun bir şekilde muhafazasına ilişkin bilgilendirmek ve farkındalık yaratmak; aynı zamanda bu kişilerle akdedilen sözleşmeler çerçevesinde kişisel verilerinin hukuka uygun şekilde muhafaza edilmesine ve silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin önlemleri almalarını sağlar.
  • Maflog Lojistik, KKVK’ dan kaynaklanan sorumluluk ve yetkiye dayanarak Maflog Lojistik adına kişisel verileri işleyen gerçek veya tüzel kişilerinin yürüttüğü kişisel verilerin muhafazası faaliyetlerini denetlemekle sorumludur.

İlgili Kayıtlar

  • 6698 Sayılı Kişisel Verinin Korunması Kanunu
  • 14 KVKK Politikası