Kişisel Veri Saklama ve İmha Politikası
- Giriş
-
- Amaç
MGR Geri Dönüşüm – Kişisel Verilerin Korunması Politikasının amacı; şirketimizin ticari faaliyetleri nedeniyle kullanılan kişisel verilerin, yasal mevzuata uygun olarak işlenmesi, korunması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili usul ve esasları düzenlemektir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler bu Politikaya uygun olarak gerçekleştirilir.
-
- Kapsam
Kişisel Verilerin Korunması Politikamız, şirketimizin üretim ve satış faaliyetleri nedeniyle doğrudan veya dolaylı ilişki ve iletişim kurmak durumunda olduğu çalışanlar, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tüketiciler, sosyal medya ve web sitesi aboneleri ve diğer gerçek kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin saklanması ve imhasına yönelik iş ve faaliyetleri kapsar.
İlgili kişinin tanımlanamayacağı şekilde anonim hale gelen istatistiki veriler ve tüzel kişileri tanımlayan veriler kişisel veri olarak kabul edilmemektedir ve bu politika kapsamında değildir.
-
- Tanımlar
- Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini;
- İlgili kullanıcı: Veri Sorumlusunun organizasyonu içinde yer alan tüm çalışanlar ve birimleri ya da veri sorumlusundan aldığı yetki ve talimat ile bu alanda hizmet veren üçüncü kişiler gibi veri işleyenleri;
- İlgili Kullanıcı (Özel Yetkili) : İlgili kullanıcıdan farklı olarak, prosedür veya ilgili kişinin isteği üzerine silinen ancak yasal nedenlerle henüz yok edilmeyen kişisel verilere erişime yetkisi olan, bu verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar tarafından erişilmemesini sağlamak üzere özel olarak yetkilendirilen veri işleyenleri;
- İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini;
- Yasa: 6698 Sayılı Kişisel Verilerin Korunması Kanununu;
- Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı;
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
- Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişiyi;
- Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;
- Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri;
- Kurul: Kişisel Verileri Koruma Kurulunu;
- Kurum: Kişisel Verileri Koruma Kurumunu;
- Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
- Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini;
- Politika: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı;
- Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini;
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi;
- Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini;
- Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Bu Politika’da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.
- KVK Yönetim Yapısı – Görev ve Sorumluluklar
Şirketin bütün birim yöneticileri, birimlerinde Kişisel Verilerin işlenmesi, saklanması ve imhası ile ilgili teknik ve idari önlemlerin usulüne uygun uygulanmasına etkin destek verir. Birim Yöneticileri bu amaçla; birim çalışanlarının eğitimi ve farkındalıklarının artırılmasını sağlar, işlemleri izleyip denetler, kişisel verilerin hukuka aykırı olarak işlenmesinin ve işlenen verilere hukuka aykırı olarak erişilmesinin önlenmesine, veri güvenliğine yönelik teknik ve idari önlemlerin alınması ve uygulanmasına yardımcı olur.
İlgili Kullanıcıların Kişisel Verilerin Korunması hususunda bilgi ve farkındalıkları artırılarak, kişisel verilerle ilgili işleme, saklama ve imha işlemlerinin mevzuata uygun olarak yerine getirilmesine aktif destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımları şöyledir:
- Genel Müdür : Veri sorumlusu Temsilcisi sıfatıyla, kişisel verilerin korunması ve imhası ile ilgili tüm işlemlerin yapılması ve politikanın uygulanmasından sorumludur.
- İnsan Kaynakları Yöneticisi : Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi, eğitim ve bilgilendirmeden sorumludur.
- Bilgi Sistemleri Yöneticisi : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden, politikanın uygulanmasında gereksinim duyulan teknik çözümlerin belirlenmesi ve uygulanmasından sorumludur.
- Diğer Birim Yöneticileri : Kendi birimlerinde politikanın uygulanması ve uygulamanın izlenmesi ve denetlenmesinden sorumludur.
- İlgili Kullanıcı ve Veri İşleyenler : Veri işleme ve saklanması ile ilgili işlemlerin usul ve yasaya uygun olmasından sorumludur.
- Özel Yetkili İlgili Kullanıcı : Prosedür veya ilgili kişinin isteği üzerine silinen kişisel verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar tarafından erişilmemesinden sorumludur.
3. Veri Kayıt ve Saklama Ortamları
-
- Elektronik Ortamlar
- Sunucular (Etki alanı, yedekleme, e-mail, veri tabanı, web, dosya paylaşım, vb.)
- Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)
- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
- Kişisel bilgisayarlar (Masaüstü, dizüstü)
- Mobil cihazlar (telefon, tablet vb.)
- Optik diskler (CD, DVD vb.)
- Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
- Yazıcı, tarayıcı, fotokopi makinesi
-
- Fiziki Ortamlar
- Kâğıt
- Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
- Yazılı, basılı, görsel ortamlar
4. Kişisel Verilerin Saklanması
Şirketimizin üretim ve satış faaliyetleri nedeniyle doğrudan veya dolaylı ilişki ve iletişim kurmak durumunda olduğu çalışanlar, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tüketiciler, sosyal medya ve web sitesi aboneleri ve diğer gerçek kişilerin, kurumların veya kuruluşların çalışanlarına ait bu politikada ve veri envanterinde işlendiği ve işleme amacı açıklanan kategori ve kişi gruplarına ait kişisel veriler, ilgili mevzuata ve Kişisel Verileri Koruma Kurulu’nun ilke kararları ve yönlendirmelerine uygun güvenlik önlemleri altında, işleme amaçlarımıza uygun süre boyunca saklanır.
-
- Saklamayı Gerektiren Sebepler
a) Kişisel verilerin saklama sürelerinin belirlenmesinde hükümleri dikkate alınan yasal düzenlemeler:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 4857 sayılı İş Kanunu,
- 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun,
- 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu,
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- Ve ticari faaliyetin yürütülmesi işlerini düzenleyen diğer yasal düzenlemeler ve bu düzenlemelere dayanan diğer mevzuat hükümleri.
b) Şirketin ticari faaliyeti kapsamında işlenen kişisel veriler ilgili yasalarında belirtilen süre boyunca, yasalarda saklama süresi belirlenmemiş ise şirketin güvenlik ve işleyişine uygun olarak bu politika ile belirlenen süre boyunca saklanır.
-
- Saklamayı Gerektiren İşleme Amaçları
Şirketin ticari faaliyeti kapsamında işlenen kişisel verilerin saklanma amaçları şöyledir:
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans Ve Muhasebe İşlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Görevlendirme Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi Ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Pazarlama Analiz Çalışmalarının Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
5. Veri Güvenliği
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yönlendirmeler çerçevesinde teknik ve idari önlemler alınır.
Veri güvenliği ile ilgili teknolojilerin güncellenmesi, değişmesi, gelişmesi ve yeni teknolojilerin gelişimi takip edilerek, güvenlik seviyesi daha yüksek versiyon veya yeni program ve teknolojiler uygulanır.
-
- Teknik Önlemler
Saklanan kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
- Sızma testleri ile bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
- Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için idari ve teknik önlemleri alınmaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- İnternet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
- Çalışanların sağlığı ile ilgili özel nitelikli kişisel verilere İşyeri Hekimliği tarafından erişilebilmekte ve işyeri sağlık biriminde saklanmaktadır.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel veriler e-mail yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-mail adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
-
- İdari Önlemler
Kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi becerinin gelişimi ile ilgili eğitimler verilmektedir.
- Şirket Etik Kodu ve diğer gizlilik ve olağandışı özen gerektiren durumlarla ilgili bilgilendirme, bilinçlendirme ve eğitsel çalışmalar yapılmakta, bu kurallara uyulacağına ilişkin taahhütler alınmaktadır.
- İşyerimizde 5188 sayılı yasa kapsamında özel güvenlik birimi görev yapmakta ve işyerinin 7/24 fiziki güvenliğini sağlamaktadır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak yaptırımlar işyerinin mevcut disiplin hükümleri yönetmeliğinde güncellenmiştir.
- Kişisel veri işlemeye başlamadan önce MGR Geri Dönüşüm tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
- Çalışanlar ve iş yapılan firmalardan gizlilik ve kişisel verilerin korunması ile ilgili taahhütnameler alınmaktadır, veri güvenliği içeren sözleşmeler yapılmaktadır.
- Kağıt yolu ile aktarılan kişisel veriler için güvenlik önlemi alınmakta, evrak gizlilik dereceli evrak formatında gönderilmektedir.
- Kişisel veri içeren ortamlara giriş çıkışlarla ilgili güvenlik önlemleri alınmaktadır.
- Kişisel veri içerin ortamların iç ve dış risklere karşı güvenliği sağlanmaktadır.
- Kişisel veriler olabildiğince azaltılmaktadır.
- Denetleme ve kontroller yapılmaktadır.
6. Kişisel Verilerin İmhası
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
- 6.1. İmhayı Gerektiren Sebepler
Şirketin ticari faaliyeti kapsamında işlenen kişisel verilerin imha sebepleri şöyledir:
- Veri işlenmesine esas teşkil eden yasal hükümlerin ortadan kalkması veya değişmesi,
- Veri işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza koşuluna bağlı olduğu durumlarda, ilgili kişinin açık rızasını geri alması,
- KVK Kanununun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kabul edilmesi,
- İlgili kişinin başvuru veya şikâyeti üzerine Koruma Kurulu tarafından kişisel verilerin imha edilmesine karar verilmesi,,
- Kişisel verilerin saklanmasını gerektiren sürenin dolması ve kişisel verileri daha uzun süre saklanmasını gerektirecek bir durumun olmaması.
- 6.2. Kişisel Verilerin Silinmesi
İşlenen ve korunan kişisel veriler aşağıda düzenlenen yöntemlerle silinir, yok edilir ve anonim hale getirilir.
-
- 6.2.1. Bulut Çözümleri
Bulut sisteminde bulunan ve depolanan verilerden silinmesi gerekenler, silme komutu verilerek silinir, veri tabanı yöneticisi dışında kalan kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
-
- 6.2.2. Kağıt Ortamında Bulunan Kişisel Veriler
Fiziki dosya ve kağıt ortamında bulunan kişisel veriler, Veri Sorumlusu tarafından arşiv ve saklama işlemleri için görevlendirilen İlgili Kullanıcı dışında diğer ilgili kullanıcılar, veri işleyenler ve çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, evrak üzerindeki kişisel verilerin kesilmesi veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılıp karartılarak ilgili kullanıcılara görünemez hale getirilir.
-
- 6.2.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyalar işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde veri tabanı yöneticisi dışında kalan kullanıcıların erişim hakları kaldırılarak erişimleri engellenir.
-
- 6.2.4. Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır bu ortamlara uygun yazılımlar kullanılarak silinir.
-
- 6.2.5. Veri Tabanları
Veri tabanları üzerindeki kişisel verilerin bulunduğu satırlar, veri tabanı silme komutları ile silinir.
- 6.3. Kişisel Verilerin Yok Edilmesi
-
- 6.3.1. Fiziksel Ortamda Yer Alan Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makineleri gibi imha araçları ile geri döndürülemeyecek şekilde yok edilir.
-
- 6.3.2. Optik / Manyetik Medyada Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
- 6.4. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.
7. Veri Sahibinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi
Veri Sahibi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle iletir.
Veri sahibinin başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas alınabilir. Başvurunun yapılan bir işleme hatasından kaynaklanması durumunda ücret alınmaz veya alınmış ise iade edilir.
Veri sahibine; talebinin kabul edildiği veya talebinin reddedildiği gerekçesi açıklanarak bildirilir. Bildiri yazılı olarak veya elektronik ortamda yapılır.
8. Saklama ve İmha Süreleri
- 8.1. Prosedürel saklama ve imha süreleri
Şirket faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Yasal düzenlemeler veya ihtiyaçlar çerçevesinde saklama sürelerinde güncellemeler ve değişiklikler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi yetkilendirilen İlgili Kullanıcı / Özel Yetkili Kullanıcı tarafından yerine getirilir.
Saklama ve imha süresinin belirlenmesinde;
- İşlenen kişisel verinin iş sözleşmesi ile kurulan ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi gözönüne alınarak, iş sözleşmesinin sona ermesinden itibaren 10 yıl saklanması,
- İşlenen kişisel verinin ticari sözleşmeler ile kurulan her tür ticari ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi gözönüne alınarak, ticari ilişkinin sona ermesinden itibaren 10 yıl saklanması,
- İşlenen kişisel verinin dolaylı olarak iş veya ticari sözleşmesi ile kurulan ilişki kapsamında yürütülen süreçlerle ilgili olması durumunda, yasal zamanaşımı süresi gözönüne alınarak, hukuki ilişkinin sona ermesinden itibaren 10 yıl saklanması,
- İşlenen kişisel verinin herhangi bir ticari alışveriş ile doğrudan ilgisi olmaması, irtibat kurulma, ziyaret, tanışma, teklif verme, iş veya staj için başvurma gibi amaçlarla verilmesi ve sonrasında iş veya ticari ilişkiye dönüşmemesi halinde 2 yıl saklanması,
- Güvenlik kayıtlarının otomatik olarak altı ay içinde silinmesi, herhangi bir olay veya görüntüye ihtiyaç olması nedeniyle başka bir amaç ve hukuki nedene bağlı olarak saklanması gereken bölümlerin kesilerek, ilgili hukuki neden ve amacın tabi olduğu zamanaşımı süresine uygun olarak saklanması,
İlkeleri temel alınmış ve saklama süreleri buna göre belirlenmiştir.
- 8.2. Veri Sahibinin Başvurusu Durumunda Silme ve Yok Etme Süreleri
Veri Sahibinin kendisine ait kişisel verilerin silinmesini veya yok edilmesi için başvurması durumunda;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; başvuru konusu kişisel veriler silinir, yok edilir veya anonim hale getirilir. İlgili kişinin talebi en geç 30 gün içinde sonuçlandırılır ve ilgili kişiye bilgi verilir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve başvuru konusu kişisel veriler üçüncü kişilere aktarılmışsa, durum veri aktarılan üçüncü kişiye bildirilir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını sağlanır.
c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, ilgilinin isteği gerekçesi açıklanarak reddedilebilir ve ret cevabı Veri Sahibine en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
- 8.3. İmha Periyotları
Saklama süresi sona eren veya saklama amacı ortadan kalkan kişisel veriler altı ayda bir imha edilir. Periyodik imha işlemi her yılın Ocak ve Temmuz aylarında gerçekleştirilir.
9. Politikanın Yayınlanması ve Saklanması
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda oluşturulur. Elektronik ortamda oluşturulan internet sayfasında ilan edilir. Basılı kâğıt olarak oluşturulan dosyasında saklanır.
10. Politikanın Güncellenme Periyodu
Şirket faaliyetleri ve işlenen kişisel veri gruplarında olabilecek değişiklikler, yasal mevzuatta yapılacak değişikler ve Kişisel Verileri Koruma Kurulu ilke kararları takip edilerek, ortaya çıkan ihtiyaca göre politika gözden geçirilir ve gerekli olan bölümler güncellenir, değiştirilir veya yeniden oluşturulur.
11. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması
Politika, Verbis Sistemine kayıt olduğunda yürürlüğe girer. Politika metni ve içeriğinde değişiklik olması durumunda, eski nüsha 5 yıl saklanmak üzere arşive kaldırılarak güncel metin dosyasına konulur. Elektronik ortamda bulunan eski metinler tamamen yok edilir, gerekiyorsa yerine yeni politika konulur.