İşbu Kişisel Veri Saklama ve İmha Politikası ("Politika"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") ve Kanun'un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") uyarınca veri sorumlusu sıfatıyla Lazzoni Mobilya Sanayi Turizm ve İnşaat Anonim Şirketi ("Şirket") tarafından hazırlanmıştır. Politika, Kişileri, verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesine ilişkin esaslar ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmektedir.

Tanımlar ve Kısaltmalar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza,

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,

Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam,

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir,

Anonimleştirme

Kişisel Veri : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiye atfedilemeyecek hâle getirilmesi,

Kişisel Verilerin Silinmesi : Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi,

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi,

Kurul : Kişisel Verileri Koruma Kurulu,

Periyodik İmha : Kişisel veri saklama ve imha politikasında yer alan kişisel verilerin kanunda yer alan işleme şartlarının tamamının ortadan kalkması durumunda saklanan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemidir,

Veri Sahibi / İlgili Kişi : Kişisel verisi işlenen gerçek kişiler,

Veri İşleyen : Teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler,

Yönetmelik : Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

.

  1. Politika İlkeleri

Lazzoni Hotel, kişisel verilerin saklanması ve imhası aşamalarında aşağıdaki ilkeler çerçevesinde hareket etmektedir. Oysa ki

  1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tam olarak uyulmaktadır.
  2. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler Şirket tarafından kayıt altına alınır ve bu kayıtlar en az aşağıdaki süreler kadar muhafaza edilir 3 yıl, diğer yasal yükümlülüklerden ayrı olarak.
  3. Kurul tarafından aksi kararlaştırılmadıkça kişisel verileri silmek, yok etmek veya anonim hale getirmek için en uygun yöntemi seçeriz. Ancak İlgili Kişi'nin talebi üzerine silme, yok etme ve imha işlemleri talebe uygun olarak gerçekleştirilecektir.
  4. Kanun'un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde kişisel veriler Şirket tarafından re'sen veya İlgili Kişi'nin talebi üzerine silinir, yok edilir veya anonim hale getirilir. İlgili Kişi'nin bu yönde Şirket'e başvurması halinde Şirket'e iletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır. Talebe konu verilerin üçüncü kişilere aktarılması halinde, bu durum verilerin aktarıldığı üçüncü kişilere bildirilir ve üçüncü kişinin gerekli işlemleri yapması sağlanır.

2- Saklama ve İmhayı Gerektiren Nedenlere İlişkin Açıklamalar

    1. Veri sahiplerine ait kişisel veriler, Şirket tarafından Kanun ve ilgili diğer mevzuatta belirtilen sınırlar çerçevesinde özellikle (i) ticari faaliyetlerin sürdürülmesi, (ii) hukuki yükümlülüklerin yerine getirilmesi, (iii) çalışan hak ve yan haklarının planlanması ve ifası ve (iv) Şirket'in haklı menfaatleri için saklanmaktadır. Kişisel verilerin işlenmesini gerektiren sebepler aşağıdaki gibidir:
      1. Kişisel verilerin sözleşmelerin kurulması ve ifasıyla doğrudan doğruya ilgili olması nedeniyle saklanması
      2. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin saklanması,
      3. Kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket'in meşru menfaatleri için kişisel verilerin saklanmasının zorunlu olması,
      4. Kişisel verilerin Şirket'in hukuki yükümlülüğünü yerine getirmek amacıyla saklanması,
      5. Mevzuatta kişisel verilerin saklanmasına ilişkin açık ifade,
      6. Veri sahiplerinin açık rızasını gerektiren saklama faaliyetleri bakımından veri sahiplerinin açık rızasının bulunması.
    1. Yönetmelik uyarınca aşağıdaki hallerde veri sahiplerinin kişisel verileri Şirket tarafından re'sen veya talep üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir:
      1. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması nedeniyle gerekli olması,
      2. Kişisel verilerin işlenme veya saklanma amacının ortadan kaldırılması,
      3. Kanun'un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenmesini gerektiren şartların kaldırılması,
      4. Kişisel verilerin işlenmesinin sadece açık rıza şartına bağlı olarak gerçekleştiği durumlarda, ilgili kişinin rızasını geri alması,
      5. İlgili kişinin Kanun'un 11. maddesinde yer alan hakları çerçevesinde kişisel verilerinin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin başvurusunun kabul edilmesi
      6. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebiyle kendisine yapılan başvuruyu reddetmesi, verilen cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunulması ve talebin Kurul tarafından uygun bulunması,
      7. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verilerin daha uzun süre saklanmasını haklı kılacak herhangi bir şart bulunmamaktadır.

 

    1. Saklama ve İmha Süreleri

Lazzoni Hotel tarafından Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin belirlenmesinde aşağıda yer alan kriterler kullanılmaktadır:

  1. Söz konusu kişisel verilerin saklanmasına ilişkin olarak mevzuatta bir süre öngörülmüşse bu süreye riayet edilir. Söz konusu sürenin sona ermesini takiben veriler aşağıdaki madde kapsamında işlenir.
  1. Söz konusu kişisel verilerin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta bu verilerin saklanması için herhangi bir süre öngörülmemiş olması halinde sırasıyla
  1. Kişisel veriler, Kanun'un 6. maddesinde yer alan tanıma göre kişisel veri ve özel nitelikli kişisel veri olarak sınıflandırılır. Özel nitelikli olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem, ilgili kişisel verinin niteliğine uygun olarak Şirket içindeki önem derecesine göre belirlenir.
  2. İlgili Kişisel Verilerin saklanmasının Kanun'un 4. maddesinde belirtilen ilkelere uygunluğu sorgulanır. Saklanmasının Kanun'un 4. maddesinde belirtilen ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir veya anonim hale getirilir.
  3. Kanun'un 5. ve 6. maddelerinde öngörülen istisnalardan hangilerinin ilgili Kişisel Verilerin saklanması kapsamında değerlendirilebileceği tespit edilir. Belirlenen istisnalar çerçevesinde verilerin saklanması gereken makul süreler belirlenir. Bu süreler sona erdiğinde veriler silinir, yok edilir veya anonim hale getirilir.

 

Şirket tarafından belirlenen saklama, imha ve periyodik imha süreleri işbu Politika'nın ekinde yer almaktadır. Saklama süresi sona eren kişisel veriler, işbu Politika'nın ekinde belirtilen imha süreleri çerçevesinde 6 (altı) aylık periyotlarla anonim hale getirilir veya buradaki usullere uygun olarak imha edilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan tüm işlemler kayıt altına alınmakta ve söz konusu kayıtlar diğer hukuki yükümlülüklerden ayrı olarak adresinde en az 3 (üç) yıl süreyle saklanmaktadır.

  1. Kayıt Ortamı

Lazzoni Hotel, Politika kapsamına aşağıda sayılan ve kişisel veri içeren mecraları ve bunlara ek olarak ortaya çıkabilecek mecralardaki kişisel verileri de dahil etmeyi kabul eder.

  1. Şirketimiz adına kayıtlı bilgisayar ve sunucular ile ağ cihazları
  2. Ağ üzerinde veri depolamak için kullanılan paylaşılan/paylaşılmayan disk sürücüleri
  3. Bulut sistemleri
  4. Cep telefonları ve bunların tüm depolama alanları
  5. Kağıt
  6. Mikrofiş
  7. Yazıcı, parmak izi okuyucu, biyometrik göz okuma cihazları gibi çevre birimleri
  8. Manyetik bantlar
  9. Optik diskler
  10. Flaş bellekler
  1. Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler

Şirketimizin işe alım süreçlerinde ve/veya sözleşmenin kurulması sırasında ifası gereken yükümlülüklerin yerine getirilmesi, bir hakkın tesisi, müşteri hizmetleri, tüketici hakları ve diğer fırsatlardan yararlanmanız ve/veya bunlara ilişkin ticari, mali, hukuki sorumluluk ve yükümlülüklerin yerine getirilmesi, Şirketimizin güvenliğinin sağlanması için veri işlemenin zorunlu olması halinde toplanacak kişisel veriler veya Şirketimizin meşru amaçları doğrultusunda kişisel verilerin işlenmesi için gerekli olan veriler [] sistemine işlenmektedir. Ayrıca dijital kopya olarak saklanan tüm veriler Şirket'in [] sunucusuna kaydedilmektedir.

Kişisel verilerin saklanması ve imhası sürecinde yer alan personel unvanları, birimleri ve görev tanımları Politika ekinde yer almaktadır. 

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak erişilmesinin önlenmesi, erişimin engellenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Şirket tarafından Kanun'un 12. maddesinde yer alan ilkeler çerçevesinde alınan tüm idari ve teknik tedbirler aşağıda sıralanmaktadır:

    1. 4.1.İdari Tedbirler:

Lazzoni Hotel idari tedbirler kapsamında aşağıdakileri gerçekleştirir;

  1. Şirket içinde saklanan kişisel verilere erişimin görev tanımı gereği erişmesi gereken personel ile sınırlandırılması. Erişimin sınırlandırılmasında verinin hassas olup olmadığı ve önem derecesi de dikkate alınmaktadır.
  1. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
  1. Kişisel verilerin paylaşılmasına ilişkin olarak, kişisel verilerin paylaşıldığı kişilerle kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşmeler imzalayacak veya mevcut sözleşmeye eklenen hükümlerle veri güvenliğini sağlayacaktır.
  1. Kişisel verilerin işlenmesi konusunda bilgili ve deneyimli personel istihdam edecek ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verecektir.
  1. Kanun hükümlerinin tüzel kişiliği nezdinde uygulanmasını sağlamak üzere gerekli denetimleri yapar ve yaptırır. Denetim sonuçlarında görülen gizlilik ve güvenlik zafiyetlerini giderir.
  1. Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

 

    1. 6.2.Teknik Önlemler:

Lazzoni Hotel teknik önlemler kapsamında aşağıdakileri gerçekleştirir;

  1. Kurulan sistemler kapsamında gerekli iç kontrolleri gerçekleştirir.
  2. Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirme ve iş etki analizi süreçlerini yürütür.
  3. Verilerin kurum dışına sızmasını önlemek veya izlemek için teknik altyapının sağlanmasını ve ilgili matrislerin oluşturulmasını sağlar.
  4. Düzenli olarak ve ihtiyaç duyulduğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlayacaktır.
  5. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimlerinin kontrol altında tutulmasını sağlar.
  6. Kişisel verilerin geri döndürülemeyecek şekilde ve denetim izi bırakmadan imha edilmesini sağlar.
  7. Kanun'un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini karşılayacak şekilde şifreli veya kriptografik yöntemler kullanarak korur.
  8. Özel nitelikli kişisel veriler üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli bir şekilde loglanmasını sağlayacaktır.
  9. Verilerin bulunduğu ortamların güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yapılmasını sağlayacaktır.
  10. Özel nitelikli kişisel verilere bir yazılım aracılığıyla erişildiği durumlarda, bu yazılıma ait kullanıcı yetkilerini temin edecek ve bu yazılımların düzenli olarak test edilmesini sağlayacaktır.
  11. Hassas kişisel verilere uzaktan erişim gerektiğinde en az iki seviyeli kimlik doğrulama sistemi sağlayacaktır.
    1. 11.3.Özel nitelikli kişisel verilerin aktarıldığı durumlarda aşağıdakileri sağlayacaktır;

   

  1. Verilerin e-posta ile aktarılması gerekiyorsa şifreli kurumsal e-posta adresi ile veya KEP hesabı kullanılarak aktarılır,
  2. Verinin taşınabilir bellek, CD, DVD gibi ortamlar üzerinden aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir,
  3. Transfer farklı fiziksel ortamlardaki sunucular arasında gerçekleşiyorsa VPN kurularak veya sFTP yöntemi kullanılarak sunucular arasında transfer edilmesi sağlanır,
  4. Verilerin kağıt üzerinde aktarılması gerekiyorsa, belgelerin "gizli belgeler" formatında gönderilmesini sağlar.

 

 

  1. Politikanın Uygulanması, İhlaller ve Yaptırımlar
  1. Bu Politika, tüm çalışanlara duyurularak yayınlandıktan sonra yürürlüğe girecek ve yürürlük tarihinden itibaren tüm iş birimleri, danışmanlar, dış hizmet sağlayıcılar ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
  1. Çalışanların politika gerekliliklerini yerine getirip getirmediğini izlemek ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Bir politika ihlali tespit edildiğinde, konu derhal ilgili çalışanın amiri tarafından bağlı olduğu üst amire bildirilecektir.
  1. İhlalin önemli olması durumunda, amir Lazzoni Hotel Genel Müdürünü bilgilendirecektir.
  1. Politikaya aykırı hareket eden çalışan hakkında İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında 4857 sayılı İş Kanunu kapsamında gerekli işlem yapılacaktır.

 

Kişisel veriler, işbu Politika'nın 2. ve 3. maddeleri dikkate alınarak aşağıda belirtilen süreler boyunca saklanacak ve bu sürenin sonunda anonim hale getirilecek veya imha edilecektir:

Prosedür

Depolama Süresi

İmha Dönemi

İş Kanunu kapsamında saklanan veriler (örneğin performans kayıtları vb.)

İş ilişkisinin sona ermesinden 10 yıl sonra

 Depolama süresinin bitiminden sonra 6 AY içinde

İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vb.)

İş ilişkisinin sona ermesinden 15 yıl sonra

Depolama süresinin bitiminden sonra 6 AY içinde

SGK mevzuatı kapsamında tutulan veriler

İş ilişkisinin sona ermesinden 10 yıl sonra

Depolama süresinin bitiminden sonra 6 AY içinde

İş kazası/meslek hastalığı ile ilgili bir talepte/davada kullanılabilecek belgeler

İş ilişkisinin sona ermesinden 10 yıl sonra

Depolama süresinin bitiminden sonra 6 AY içinde

İlgili diğer mevzuat uyarınca toplanan veriler

İlgili mevzuatta öngörülen süre boyunca

Depolama süresinin bitiminden sonra 6 AY içinde

İlgili kişisel verinin Türk Ceza Kanunu veya ceza hükmü düzenleyen diğer mevzuat kapsamında bir suça konu olması.

Zamanaşımı süresince

Depolama süresinin bitiminden sonra 6 AY içinde

Müşteri Kişisel Verileri

Kayıttan 10 yıl sonra

Depolama süresinin bitiminden sonra 6 AY içinde

 

Şirket'in ilgili kişisel veriyi kullanma amacının ortadan kalkmaması, ilgili kişisel veri için öngörülen saklama süresinin tabloda yer alan sürelerden daha uzun olması veya konuya ilişkin dava zamanaşımı süresinin kişisel tarihin tabloda yer alan sürelerden daha uzun saklanmasını gerektirmesi halinde yukarıdaki tabloda belirtilen süreler uygulanmayabilecektir. Bu durumda kullanım süresi, özel mevzuat veya dava zamanaşımı sürelerinden hangisi daha geç sona eriyorsa o süre dikkate alınacaktır.