1. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”); CHT TURKEY KİMYA SANAYİ TİC. A.Ş. (“bundan böyle CHT TURKEY olarak anılacaktır”)’nin, kişisel verileri işlediği herhangi bir sürece dâhil olan tüm departmanlarını, çalışanlarını, grup şirketlerini ve 3. tarafları kapsamaktadır.
2. İşbu Politika; CHT TURKEY’nin kişisel veriler üzerinde uygulayacağı tüm imha faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda uygulanacaktır.
3. İşbu Politika, kişisel veri olmayan veriler hakkında uygulanmayacaktır.
4. Konuyla alakalı yeni mevzuatın belirlenmesi veya mevcut mevzuatın güncellenmesi durumunda, CHT TURKEY politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.
5. İşbu Politika’nın CHT TURKEY tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, CHT TURKEY uygulanacak adımları — gerek görüldüğünde Hukuk Birimi’ne ve Üst Yönetime danışarak — yeniden belirleyebilecektir.

Not: Kişisel Verilerin Korunması Politikası içerisinde bulunan tanımlar, işbu Politika için de geçerlidir.

İşbu Politika, Kanun’un 7. maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan kişisel verilerin silinmesinden, yok edilmesinden veya anonimleştirilmesinden sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve CHT TURKEY ile CHT TURKEY’nin sözleşmesel olarak sorumlu kıldığı üçüncü kişiler ve grup şirketleri tarafından uyulması gereken esasları belirleyecektir.

Yönetmelik uyarınca CHT TURKEY, Sicile kayıt yükümlülüğü bulunan bir Veri Sorumlusu olarak, uhdesinde bulunan kişisel verileri kişisel veri envanterine uygun bir şekilde saklamak ve gerektiğinde silmek, yok etmek ya da anonim hale getirmek için bir Politika hazırlamak ve bu Politikaya uygun hareket etmek ile yükümlüdür.

Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

1. a) Kanun’un 4. maddesindeki genel ilkelere uyulacaktır.
2. b) CHT TURKEY, işbu Politikayı hazırlamış olmanın tek başına kişisel verilerin Yönetmelik, Kanun ve ilgili mevzuata uygun olarak silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmeyeceğini kabul etmektedir.
3. c) CHT TURKEY, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, Kanun’un 12. maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuattaki hükümlere, Kişisel Verileri Koruma Kurulu’nun alacağı kararlara ve işbu Politikaya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
4. d) CHT TURKEY, bünyesinde bulundurduğu kişisel verilerin; tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

CHT TURKEY, işbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ile bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri bu Politika’nın kapsamına dahil etmeyi kabul eder.

• CHT TURKEY adına kullanılan bilgisayarlar ve sunucular
• Ağ cihazları
• Ağ üzerinde veri saklanması için kullanılan paylaşımlı veya paylaşımsız disk sürücüleri
• Bulut sistemleri
• Mobil telefonlar ve içerisindeki tüm saklama alanları
• Kağıt ortamı
• Yazıcı, parmak izi okuyucu gibi çevre birimleri
• Optik diskler
• Flash hafızalar

Aşağıda belirtilen kapsamda bir ihlal olması durumunda, Potansiyel Güvenlik İhlali kabul edilerek CHT TURKEY tarafından gerekli aksiyonlar alınacaktır. CHT TURKEY, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbiri alır.

1. Kanun’a Aykırılık

CHT TURKEY, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.

CHT TURKEY, Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece:

• Kanun’da belirtilen istisnalar dışında, açık rızası alınmamış kişilerin kişisel verilerini saklamaz.
• Özel nitelikli kişisel veriler saklandığında, bu veriler ilgili mevzuata bağlı kalınarak CHT TURKEY KVKK Çalışma Grubu’nun bilgisi dahilinde işlenir.

2. Veri İşleme Şartlarının Ortadan Kalkması

CHT TURKEY, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.

Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemezler. Bu durumda ilgili departman, Bilgi İşlem Departmanı desteğiyle veriyi işbu Politika’ya uygun şekilde ortadan kaldırmakla yükümlüdür.

Veri sorumlusu, yasal menfaatlerini yerine getirmek amacıyla ilgili veriyi envanterde yer alan süreler boyunca saklamakla yükümlüdür.

CHT TURKEY, aşağıda belirtilen ve Yönetmelik’te de yer alan durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:

1. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
2. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, geçersizliği, kendiliğinden sona ermesi, feshi veya sözleşmeden dönülmesi,
3. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
4. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
5. Kişisel verilerin yalnızca açık rıza şartına istinaden işlendiği hallerde ilgili kişinin rızasını geri alması,
6. İlgili kişinin, Kanun’un 11. maddesinin (e) ve (f) bentleri kapsamındaki hakları çerçevesinde yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
7. Veri sorumlusunun, ilgili kişi tarafından yapılan kişisel verilerin silinmesi veya yok edilmesi talebine verdiği cevabın yetersiz bulunması ya da hiç cevap vermemesi sonucu Kurul’a yapılan şikâyetin uygun bulunması,
8. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve veriyi daha uzun süre saklamayı haklı kılacak bir şartın kalmamış olması.

Kişisel verilerin imhası; verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemlerinden biriyle sağlanır. İmha işleminin amacı, kalan verilerle gerçek kişiye ulaşılabilmesinin mümkün olmamasıdır. CHT TURKEY, bu süreçlerde gerekli her türlü teknik ve idari tedbiri alır.

1) Kişisel Verilerin Silinmesi

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Otomatik olmayan veri kayıt sistemlerinde de sonuç aynı olmalıdır.

Veri sorumlusu, politika ve prosedürlerinde “silinmiş sayılma” koşullarının nasıl sağlandığını açıklar. Kağıt ortamındaki gerekli olmayan kişisel verilerin tarama yoluyla/sayısallaştırılmadan önce anonimleştirilmesi veya elektronik ortama aktarılan verilerde erişimin geri döndürülemez kapatılması, CHT TURKEY’nin verileri tamamen/otomatik yollarla işlediği hallerde uygulanır. CHT TURKEY, sildiği verilerin hiçbir kullanıcı tarafından erişilemez ve tekrar kullanılamaz olduğunu garanti etmekle yükümlüdür.

Silme sırasında, silinmemesi gereken bazı kişisel veriler de etkileniyorsa ve erişilemez/kullanılamaz hale geliyorsa, CHT TURKEY KVKK Çalışma Grubu kararıyla aşağıdaki önlemler bir arada sağlandığında işlem “silme” sayılır:

1. Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek şekilde arşivlenmesi,
2. Kişisel verilerin her türlü erişime kapalı hale getirilmesi,
3. Verilere yalnızca gerekli durumlarda ve yetkili kişiler tarafından erişimi sağlayacak teknik/idari tedbirlerin alınması.

Bu yöntemler Yönetmelik’e bağlıdır; ilgili durumlarda güncellenmesi Veri Sorumlusu’nun sorumluluğundadır.

2) Kişisel Verilerin Yok Edilmesi

Yok etme, verilerin bulunduğu fiziksel/elektronik kayıt ortamında geri döndürülemez biçimde imhasıdır. CHT TURKEY bu verileri tekrar geri getirilemeyecek hale getirmekle yükümlüdür. Süreç boyunca ilgili departmanlar ve çalışanlar, yok edilecek verileri KVKK Çalışma Grubu’na bildirir; akabinde CHT TURKEY gerekli teknik ve idari tedbirleri uygular.

3) Kişisel Verilerin Anonimleştirilmesi

Anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu yöntem, veriler tamamen veya kısmen otomatik yollarla işlense de uygulanabilir.

Anonimleştirme; CHT TURKEY içinde veri sahibi iş biriminin sorumluluğundadır. İş birimi, denetimi kendisinde olmak üzere gerekli hallerde farklı departmanlardan destek alabilir. Uygulamada tek yönlü fonksiyonlar ve şifreleme gibi yöntemler tercih edilebilir; yöntem hakkında tereddüt halinde CHT TURKEY KVKK Çalışma Grubu’na danışılır.

Kişisel verilerin imhası için CHT TURKEY, imha sırasında kullanılabilecek tüm yöntemleri işbu Politika’da tanımlar. Veri sahibi iş birimi, bu yöntemlerden uygun olanını duruma göre belirleyip uygulamakla yükümlüdür.

Kişisel verilerin imhası sırasında CHT TURKEY çalışanları aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:

1) Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlar aracılığıyla en az 8 kez 0 ve 1’lerden oluşan rastlantısal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

2) Manyetize Etme

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.

3) Fiziksel Yok Etme

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma yöntemlerinin başarısız olduğu durumlarda uygulanır.

4) Bulut İmhası

Bulut sistemlerde tutulan kişisel verilerin, anlaşmalı servis sağlayıcıya imha bildirimi yapılmasının ardından, kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.

5) Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası

Yazıcı, parmak izi okuyucu, kapı giriş turnikesi gibi sistemlerde yer alan kişisel verilerin; (varsa) iç ünite üzerinde, mevcut değilse tüm cihaz üzerinde olmak üzere üzerine yazma, manyetize etme veya fiziksel yok etme yöntemlerinden biriyle imhası sağlanır.

Bu tip imhalar, cihazların yedekleme veya bakım işlemleri öncesinde gerçekleştirilmek zorundadır.

1) Periyodik İmha ve Yasal Saklama Süreleri

Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler periyodik olarak imha edilir. CHT TURKEY, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde ilgili verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür.

Periyodik imha işlemi, envanterde tanımlı süreler dahilinde gerçekleştirilir. Veri sorumlusu, ileride doğabilecek hukuki anlaşmazlıklara istinaden bazı verileri meşru menfaat kapsamında daha uzun süre saklayabilir.

Not: Silme, yok etme ve anonim hale getirme işlemlerine ilişkin kayıtlar en az 3 yıl süreyle muhafaza edilir (diğer hukuki yükümlülüklerden ari olarak).

2) Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci

Veri sahibi, CHT TURKEY’ye başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde, kişisel verileri işleme şartlarının güncel durumu kontrol edilir ve buna göre gerekli aksiyonlar alınır.

İşleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel veriler silinir, yok edilir veya anonim hale getirilir. CHT TURKEY, ilgili kişinin talebini en geç 30 gün içinde sonuçlandırır ve kişiye bilgi verir.

İşleme şartlarının tamamı ortadan kalkmış ve talebe konu veriler üçüncü kişilere aktarılmışsa, veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

İşleme şartlarının tamamı ortadan kalkmamışsa, CHT TURKEY gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirir.

1. İlgili mevzuatta yapılacak her türlü resmi değişikliğin ardından, bu değişikliklerle uyumlu olacak şekilde CHT TURKEY tarafından işbu Politika’da gerekli güncellemeler yapılabilir.
2. CHT TURKEY, Politika üzerinde yaptığı değişiklikleri çalışanların ve kamuoyunun inceleyebileceği şekilde güncelleyerek ilan panosunda yayımlar, duyuru yöntemiyle ve diğer uygun şekillerde paylaşır ve güncel Politika’yı internet sitesi üzerinden erişime sunar.

İşbu Politika, 30.09.2020 tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.

CHT TURKEY KİMYA SANAYİ VE TİC. A.Ş.