YERKÜRE DOĞAL YAŞAM ÜRÜNLERİ A.Ş. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

İÇİNDEKİLER

3.2. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar

3.3. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler

3.4. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları

3.4.1. Kişisel Verileri Koruma Komitesi

3.4.2. İrtibat Kişisi

4..... KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

5..... YÜRÜRLÜK

1. AMAÇ VE KAPSAM

Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu Kanuna dayalı olarak çıkarılmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği kişisel verilerin saklanması ve imhasına ilişkin YERKÜRE DOĞAL YAŞAM ÜRÜNLERİ A.Ş’nin (Bundan sonra “Şirket” olarak anılacaktır) yükümlülüklerinin yerine getirilmesini teminen izlenecek sürecin temel esaslarının belirlenmesi amacıyla düzenlenmiştir.

Bu Politika, Şirket nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.

Kanunda belirtildiği şekilde; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel veriler bu Politika kapsamındadır.

2. TANIMLAR

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veridir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kurul: Kişisel Verileri Koruma Kurulu’nu,

Kurum: Kişisel Verileri Koruma Kurumu’nu,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Kişisel Verileri Koruma Komitesi: Veri Sorumlusunun KVKK ve ilgili Yönetmelikler, Kişisel Verileri Koruma Kurulu’nun kararları ve düzenlemeleri ve sair yasal düzenlemeler kapsamındaki yükümlülüklerini yerine getiren, Veri Sorumlusu adına gerekli işlemleri yürüten, Veri Sorumlusunun Veri Sorumluları Siciline kaydını gerçekleştiren, Kişisel Verileri Koruma Kurulu’nun düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler, mevzuatta meydana gelebilecek değişiklikler gibi durumları takip eden Şirket içinde oluşturulan Komite’yi,

İrtibat Kişisi: Kişisel Verileri Koruma Kurumu ile Veri Sorumlusu arasındaki iletişimin sağlanması ve yönetilmesi, süreçlerin takibi ve diğer işlemlerinin yürütülmesinden sorumlu personeli,

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, Veri Sorumlusu organizasyonu içerisinde kişisel verileri işleyen personeli,

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri İşleme Envanteri: Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanteri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kişisel Verilerin Silinmesi: Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesini,

Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

ifade eder.

Bu Politikada, aksi belirtilmedikçe kişisel veri ve özel nitelikli kişisel veri “Kişisel Veri” olarak kullanılmaktadır.

3. GENEL KAPSAM VE YASAL DAYANAK

3.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Şirket “Veri Sorumlusu” sıfatıyla;

3.1.1. Şirket’in faaliyetlerinin yürütülmesi amacı ile Şirket’in işlemleri neticesinde doğrudan veya dolaylı olarak edinilen kişisel veriler, aşağıda açıklandığı çerçevede; kaydedilebilecek, saklanabilecek, güncellenebilecek veya mevzuatın izin verdiği durumlarda 3. kişilere açıklanabilecek, devredilebilecek, sınıflandırılabilecek ve KVKK’da sayılan şekillerde işlenebilecektir.

3.1.2. Şirket tarafından, müşterileri, çalışanları, çalışan adayları, iş ortakları ve tedarikçileri gibi taraflardan, kimlik bilgisi, iletişim bilgisi, müşteri bilgisi, müşteri işlem bilgisi, işlem güvenliği bilgisi, hukuki işlem ve uyum bilgisi gibi kategorilerde kişisel veri toplanabilmektedir.

Toplanan kişisel veriler;

- Aydınlatma metninde belirtilen işleme amaçlarının gerçekleştirilmesi ve hizmetlerin müşterilere sunulabilmesi, müşterilere karşı olan yükümlülüklerin yerine getirilmesi, kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatın öngördüğü bilgi saklama, raporlama, bilgilendirme, denetim ve sair yükümlülüklere uymak,

- Bilgi işlem gereksinimleri, sistem altyapısı, alınan bilgi işlem destek hizmetlerinin gerekliliği, bu hizmet ve ürünlere ilişkin olarak veri sahiplerine gerekli bilgilerin aktarılması amacıyla iletişim kurmak,

- Müşteri memnuniyetinin ölçümlenmesi ve artırılması, şikâyet yönetimi, hizmetler ile ilgili görüş ve önerilerinizi almak, sorun-hata bildirimlerini almak, ürün ve hizmetlere, şikayet ve taleplere yönelik bilgi vermek,

- Ödeme işlemlerini gerçekleştirmek, 3. kişiler ile lojistik iş birliği sağlayarak bilgi yazılarının ulaşmasını sağlamak,

- Resmî kurumlarca öngörülen bilgi saklama, raporlama, bilgilendirme, denetim yükümlülüklerine uymak, sözleşmelerin gerekliliklerini yerine getirmek ve bu hizmetlerden faydalanılmasına ilişkin olarak Şirket’in tabi olduğu yasal yükümlülükleri ifa etmek,

- Şirket’in stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; Şirket tarafından yürütülen finans operasyonları, sağlık hizmetleri finansmanı, planlaması ve sağlık hizmetlerinin verilmesi, iletişim, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçeleme, sözleşme), şirket içi sistem ve uygulama yönetimi operasyonları, hukuki operasyonları yönetmek

- Resmi makamlardan veya veri sahiplerinden gelen talepleri incelemek, değerlendirmek ve yanıtlamak,

amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

3.2. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar

Kişisel Verileri Koruma Komitesi , Kişisel Veri İşleme Envanteri’nde yer alan kişisel verilerin işlenmesi ile ilgili şartların ortadan kalkıp kalkmadığını altışar aylık periyodlar halinde veri ortamlarında gözden geçirir. Kurulun veya bir mahkemenin bildirimi üzerine, periyodik denetleme süresine bakılmaksızın Kişisel Verileri Koruma Komitesi tarafından kararların/bildirimlerin gereği yapılır.

Kişisel Verileri Koruma Komitesi tarafından gözden geçirmeler neticesinde veri işleme şartlarının ortadan kalktığı tespit edilen kişisel verilerle ilgili olarak, işbu politikaya göre verinin saklanmasına veya silme, yok etme veya anonim hale getirilmesine karar verilir.

Kişisel Veri Koruma Komitesi, Kurum veya mahkeme tarafından iletilen müzekkere veya kararları derhal uygular ya da bu müzekkere veya kararlarla ilgili itiraz, temyiz gibi yasal yollara başvurulmasını değerlendirir ve sonucuna göre hareket eder.

Kişisel Verilerin işlenmesi ile ilgili Kanunun 5. ve 6. maddesi ile düzenlemiş olan şartların ortadan kalkmış olmasına rağmen, açılan bir davada verilen bir ihtiyati tedbir kararı veya sair bir karar ile bu tür bir karar olmamasına rağmen açılmış bir davanın olması ve bu davanın Kurumsal Müşteriye / Şirketimize bildirilmiş olması halinde delillerin yok olmasını önlemek amacıyla Kişisel Verileri Koruma Komitesi kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini yargılama sonuna kadar durdurur.

Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesini, başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olmasını, kişisel verilere yalnızca erişimin gerektirdiği ölçüde Kişisel Verileri Koruma Komitesi ve kişisel verilerin saklanmasından sorumlu olan teknik personel tarafından erişilmesini sağlayacak şekilde gerekli teknik ve idari tedbirler alınır ve bu suretle kişisel verilerin silinmesi işlemi yerine getirilir.

Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi; Kişisel Verileri Koruma Komitesi ve verinin saklanmasından sorumlu teknik personel dışındaki diğer kullanıcıların erişimine kapatılarak yapılır. Bu işlemlerin yapılması için Şirket tarafından bu fonksiyonları yerine getirecek olan yazılımlar ve diğer teknik araç ve gereçler kullanılır.

Kişisel verilerin imha edilmesi ile ilgili bir talep, Kurul’un kararı veya bir mahkeme kararı olması durumunda; Kişisel Verileri Koruma Komitesi kişisel veriyi saklandığı fiziksel veya elektronik kayıt ortamlarından kişisel veri işleme şartlarının ortadan kalkması/zamanaşımı süresinin dolmasından sonra ilgili kullanıcıların erişimine (kişisel verilerin silinmesi) kapatır.

Silinen, yok edilen veya anonim hale getirilen verilerle ilgili olarak kayıtlar tutulur ve bu kayıtlar üç yıl boyunca saklanır.

İlgili kişilerin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talepleri, kişisel verileri işleme şartlarının tamamen ortadan kalkmış olması şartıyla, Kurumsal Müşteriler / Şirketimiz tarafından talebin alınmasını müteakip 30 gün içinde gerçekleştirilir. Kişisel verileri işleme şartları ortadan kalkmamışsa veya aksine mevzuat, Kurul kararı veya mahkeme kararı yoksa, kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi reddedilebilir. Red kararı gerekçesiyle birlikte, İrtibat Kişisi tarafından talep tarihinden itibaren 30 gün içinde yazılı olarak veya elektronik ortamda ilgili kişiye bildirilir.

3.3. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler

Kişisel verilerin güvenli bir şekilde saklanması ve bu verilere güvenli bir şekilde erişilmesi konusunda alınmış idari ve teknik tedbirler kapsamında; bilgi güvenliği politikası, idari metinler ve politika, prosedür ve işlem talimatlarıyla kişisel veriler güvence altına alınır.

Bu Politika tüm çalışanlara duyurulur ve düzenli bir şekilde duyurulmaya devam edilir. Ayrıca, KVKK’ya uyum çalışmaları kapsamında tüm Şirket personeli bilgilendirilir, gerekli eğitimler verilir ve önemli gelişmeler tüm Şirket nezdinde duyurulur. Bu Politika tüm personelin erişimine açık olan Şirket dijital arşiv alanlarında politikanın gereklerinin yerine getirilip getirilmediğinin takibi Kişisel Verileri Koruma Komitesi tarafından yapılır. Politika’ya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın Yöneticisine bildirilir ve aykırılığın giderilmesi için ilgili Yöneticisi gerekli tedbirleri alır.

Politika’ya aykırı davranan çalışan hakkında yapılacak işlem için Şirket içerisinde uygun görülecek disiplin işlemi uygulanabileceği gibi ihlalin ağırlığına göre iş akdinin geçerli veya haklı nedenle feshi de gerçekleştirilebilir.

Politika gereklerinin yerine getirilmesi için Şirket tarafından gerekli yazılımlar/ sistemler/uygulamalar devreye alınır ve mevzuattaki değişiklikler, Şirket’e tebliğ edilen Kurul veya mahkeme kararları nedeniyle oluşabilecek değişiklikler İrtibat Kişisi tarafından takip edilir. Gerekli değişiklikler, değişikliğin meydana gelmesinden itibaren en hızlı şekilde gerçekleştirilir.

3.4. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları

3.4.1. Kişisel Verileri Koruma Komitesi:

Kişisel Verileri Koruma Komitesi aşağıda yer verilen görevleri yerine getirmekle sorumludur:

Bu Politika’nın uygulanmasının temin ve takip edilmesi,

Mevzuatta meydana gelebilecek değişiklikleri, Kurul’un düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler gibi durumların takip edilmesi,

Veri saklama ve imha ile ilgili olarak yapılan iş programlarının takip edilmesi, gözden geçirilmesi ve iş programları çerçevesinde yapılanların bu Politika ile uyumlu olup olmadığının denetlenmesi, uyumsuzlukların tespit edilmesi durumunda bunların bu Politika ile uyumlu hale getirilmesinin sağlanması,

Kurum tarafından yapılan tebligat veya yazışmaların veri sorumlusu adına tebellüğ veya kabul edilmesi,

Kurum tarafından veri sorumlusuna yöneltilen taleplerin veri sorumlusu adına alınması ve cevaplarının Kurum’a iletilmesi,

Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanun’un 13’üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruların veri sorumlusu adına alınması,

Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevaplarının iletilmesi,

Veri sorumlusu adına Sicile ilişkin iş ve işlemlerin yapılması,

Veri sorumlusu adına sicile kayıt sırasında irtibat kişisi bilgilerinin sicile işlenmesi,

İşbu Politika’da yer verilen çeşitli görevleri yerine getirilmesi.

3.4.2. İrtibat Kişisi

İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK kapsamındaki yetkileri ve sorumlulukları aşağıda yer almaktadır:

Kurul tarafından başkaca bir esas belirlenmediği koşulda; ilgili kişilerin Veri Sorumlusuna yönelteceği başvuruları Veri Sorumlusu adına alma, Kişisel Verileri Koruma Komitesi’ne iletmek,

Kurul tarafından başkaca bir esas belirlenmediği koşulda; ilgili kişilerin yaptığı başvurulara ilişkin Veri Sorumlusunun cevabını ilgi kişilere iletmek.

4. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirket, Ticaret Kanunu ve düzenlemeleri çerçevesinde denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmak zorunda olup, Şirket işlemleri ile ilgili tüm bilgi ve belgeyi 10 yıl boyunca tutmak zorundadır.

Bununla birlikte, 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olmasından olması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere verilebilmesini mümkün kılmak için kişisel veriler son işlem tarihinden itibaren 10 yıl süre ile saklanır.

Şirket personeline ait sağlık ve güvenlik kayıtları, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/1-b hükmüne göre 15 yıl boyunca saklanmak durumundadır. Bununla birlikte 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun ilgili maddeleri gereği, Şirket personeline ait sağlık ve güvenlik kayıtları dışındaki diğer kişisel veriler 10 yıl boyunca saklanır.

Destek hizmeti firmaları, kurumsal müşteriler ve tedarikçi firmalardan temin edilen kişisel veriler; 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusu olan Kurumsal Müşterinin / Şirketin hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere sunulabilmesini mümkün kılmak için son işlem tarihinden itibaren 10 yıl süre ile saklanır.

Kişisel Verilerin Saklama ve İmha Süreleri Tablosu

İlgili Kişi	Açıklama	Saklama/İmha süresi
Şirket işlemlerinin doğrudan ya da dolaylı tarafları	Kişisel Veri	10 yıl
Personel	Kişisel Veri	10 yıl
Personel	Sağlık ve Güvenlik Kayıtları	15 yıl
Destek hizmeti sunucusu/Tedarikçi	Kişisel Veri	10 yıl

Söz konusu sürelerin bitiminden itibaren 6 aylık periyodik imha zaman aralıklarında kişisel veriler ilgili kullanıcıların erişimine kapatılarak silinir. İlgili kullanıcıların erişimine kapatılan kişisel veriler sadece erişimin gerektirdiği ölçüde Kişisel Verileri Koruma Komitesi’nin ve verileri saklamakla görevli olan teknik personelin erişimine açık olacak şekilde arşivlenir.

5. YÜRÜRLÜK

Bu Politika Yönetim Kurulu tarafından kabul edildiği tarihte yürürlüğe girer.

Bu Politika hükümlerini Kişisel Verileri Koruma Komitesi yürütür.