Kişisel Veri Saklama ve İmha Politikası

AMAÇ

DÖNMEZ DEBRİYAJ SANAYİ VE TİCARET ANONİM ŞİRKETİ (“Şirket”), ticari faaliyetlerini yerine getirirken hukuki sorumluluğunun bir parçası olarak, kişisel verileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), ikincil mevzuat, ilgili diğer mevzuat ve Kişisel Verilerin Korunması Kurul’u kararları ile diğer yetkili merci kararlarına uygun olarak korumakta, işlemekte, saklamakta, aktarmakta ve imha etmektedir.

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca, Kişisel Veriler’in Şirket tarafından Veri Sorumlusu sıfatıyla işlenmesindeki amaç ve amaca yönelik azami saklama süresinin belirlenmesindeki esaslar ile silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleri hakkında Şirket’in tüm paydaşlarını bilgilendirmek amacıyla hazırlanmıştır.

TANIMLAR

İşbu Politika’da, metnin içeriği aksini gerektirmedikçe, aşağıda belirtilen kelimeler, ifadeler veya bunların türevleri, ilk harfleri büyük olarak kullanıldıkları sürece, aşağıdaki şekilde anlaşılmalıdır;

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda Kişisel Verileri işleyen kişileri,

İmha

Kişisel Veriler’in silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunduğu her türlü ortamı,

KVKK

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Veriler’in İşlenmesi

Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Veriler’in Anonim Hale Getirilmesi

Kişisel Veriler’in, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Kişisel Veriler’in Silinmesi

Kişisel Veriler’in İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,

Kişisel Veriler’in Yok Edilmesi

Kişisel Veriler’in hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kurul

Kişisel Verileri Koruma Kurulu’nu,

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

Periyodik İmha

KVKK’da yer alan Kişisel Veriler’in işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Veriler’i saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Veri Sahibi/İlgili Kişi

Kişisel Verisi işlenen gerçek kişiyi,

Veri Sorumlusu

Kişisel Veriler’in İşlenmesi’nin amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Yönetmelik

28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i

ifade etmektedir.

İşbu maddede yer almayan ancak Politika içerisinde ilk harfleri büyük olarak kullanılan kelimeler bakımından KVKK ve Yönetmelik’te yer alan tanımlar geçerli kabul edilecektir.

1. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Şirket tarafından Kişisel Veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır;

  • Kişisel Veriler’in silinmesi, yok edilmesi ve anonim hale getirilmesinde KVKK’nın 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken ve işbu Politika’nın 4. maddesinde belirtilen teknik ve idari tedbirlere, ikincil mevzuat, ilgili diğer mevzuat ve Kişisel Verilerin Korunması Kurul’u kararları ile diğer yetkili merci kararlarına ve işbu Politika’ya tamamen uygun hareket edilmektedir.

  • Kişisel Veriler’in silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmaktadır.

  • Kurul tarafından aksine bir karar alınmadıkça, Kişisel Veriler’i re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

  • KVKK’nın 5. ve 6. maddelerinde yer alan Kişisel Veriler’in işlenme şartlarının tamamının ortadan kalkması halinde, Kişisel Veriler Şirket tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;

İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.

Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

HUKUKA VE DÜRÜSTLÜK KURALINA UYGUN İŞLEME

Şirket, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkelere, kanunlara, ikincil düzenlemelere, genel güven ve dürüstlük kurallarına uygun hareket etmektedir. Bu kapsamda, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.

KİŞİSEL VERİLERİN DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMASINI SAĞLAMA

Şirket, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurarak işlediği kişisel verilerin doğru ve güncelliğini sağlamaya yönelik her türlü idari ve teknik kontrollerin yapılmasına dikkat eder. Veri sahiplerine bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesi veya silinmesini isteme hakkı tanınır.

BELİRLİ, AÇIK VE MEŞRU AMAÇLARLA İŞLEME

Şirket, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMA

Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.

İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN SÜRE KADAR MUHAFAZA ETME

Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçilmektedir. Söz konusu kayıtların imha ve periyodik imha sürelerine Şirket’in Kişisel Verilerin İşlenmesine dair Ana Envanter’den ulaşabilirsiniz.

2. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından KVKK ve ikincil mevzuat, ilgili diğer mevzuat ve Kurul kararları ile diğer yetkili merci kararlarına uygun olarak elde edilen Kişisel Veriler’in saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

Mevzuatta söz konusu Kişisel Veriler’in saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.

Söz konusu Kişisel Veriler’in saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda söz konusu kayıtların imha ve periyodik imha sürelerine Şirket’in Kişisel Verilerin İşlenmesine dair Ana Envanter’den ulaşabilirsiniz.

Saklama süresi dolan Kişisel Veriler, işbu Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak Periyodik İmha şeklinde imha edilir.

Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere her faaliyet açısından ayrı saklama süresi belirlenmiş olup bu sürelere Şirket’in Kişisel Verilerin İşlenmesine dair Ana Envanter’den ulaşabilirsiniz.

3. SAKLAMA VE İMHAYI GEREKTİRECEK SEBEPLER

Veri Sahipleri’ne ait Kişisel Veriler, Şirket tarafından özellikle;

  • Her türlü ticari/iş faaliyetlerin sürdürülebilmesi,

  • Hukuki yükümlülüklerin yerine getirilebilmesi,

  • Çalışan haklarının ve yan haklarının planlanması ve ifası ile

  • Müşteri ilişkilerinin yönetilebilmesi amacıyla,

Yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

  • Kişisel Veriler’in sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

  • Kişisel Veriler’in bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

  • Kişisel Veriler’in kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

  • Kişisel Veriler’in Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

  • Mevzuatta Kişisel Veriler’in saklanmasının açıkça öngörülmesi,

  • Veri Sahipleri’nin Açık Rıza’sının alınmasını gerektiren saklama faaliyetleri açısından Veri Sahipleri’nin Açık Rıza’sının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde Veri Sahipleri’ne ait Kişisel Veriler, Şirket tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

  • Kişisel Veriler’in işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

  • Kişisel Veriler’in işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

  • KVKK’nın 5. ve 6. maddelerindeki Kişisel Veriler’in işlenmesini gerektiren şartların ortadan kalkması,

  • Kişisel Veriler’i işlemenin sadece Açık Rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

  • İlgili Kişi’nin, KVKK’nın 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde Kişisel Verileri’nin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Veri Sorumlusu tarafından kabul edilmesi,

  • Veri Sorumlusu’nun, İlgili Kişi tarafından Kişisel Verileri’nin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK ile öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

  • Kişisel Veriler’in saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, Kişisel Veriler’i daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

3. KİŞİSEL VERİLERİN ŞİRKET TARAFINDAN SAKLANMASI VE İMHASI USULLERİ

KAYIT ORTAMLARI

Veri Sahipleri’ne ait Kişisel Veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır.

Elektronik ortamlar:

  • Şirkete ait sunucu ve network sistemlerinde, şirketin kendi geliştirdiği ya da dışarıdan hizmet olarak aldığı uygulamalarda ve bulut sistemlerinde

  • Sunucular (Veritabanları, E-posta, İş Birimlerine ait e-klasörler)

  • Şirkete ait mobil cihazlar (cep telefonu, bilgisayar vs.)

  • Kamera kayıt alanı

  • Alt yapısı sözleşmeli firmalarca oluşturulan internet sitesi

Fiziksel ortamlar:

Kağıt, Manuel veri kayıt sistemleri (ziyaretçi kayıt defteri), kilitli dolaplar, arşiv odası

TEKNİK VE İDARİ TEDBİRLER

Şirket, Kişisel Veriler’in korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’da öngörülen tedbirler şunlardır:

  • Kişisel Veriler’in hukuka aykırı olarak işlenmesini önlemek,

  • Kişisel Veriler’e hukuka aykırı olarak erişilmesini önlemek,

  • Kişisel Veriler’in muhafazasını sağlamak.

Kişisel Veriler’in güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmemesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

İdari Tedbirler

Şirket idari tedbirler kapsamında;

Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

Çalışanlar için yetki matrisi oluşturulmuştur.

Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

Gizlilik taahhütnameleri yapılmaktadır.

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

Kişisel veri güvenliğinin takibi yapılmaktadır.

Kişisel veriler mümkün olduğunca azaltılmaktadır.

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

Mevcut risk ve tehditler belirlenmiştir.

Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

Şifreleme yapılmaktadır.

Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

Şirket KVKK Prosedürü

KVKK Denetim Prosedürü ( Planlı & Rastgele)

Kişisel Verilerin Muhafazası & Güvenliği Prosedürü

Güvenlik Politika Ve Prosedürlerine Uymayan Çalışanlara Yönelik Uygulanacak Disiplin Prosedürü

Hassas Verilerin İşlendiği Ve Saklandığı Ortamların Güvenlik Prosedürü

Evraklar için “Gizlilik Dereceli Belgeler” Tanımlaması ve Uygulama Prosedürü

Özel Nitelikli Verilerin Saklanması ve İşlenmesi Prosedürü

Personel Yaka Kartları ile Yetkisiz Giriş/Çıkışların Takibi Prosedürü

KVKK Politikası

Veri İhlali Bildirim Prosedürü

Veri Sahibi Başvuru Prosedürü

Veri İmha Politikası

KVKK Eğitimi - 1 Genel Bilgilendirme : Kişisel Verilerin Hukuka Aykırı İşlenmenin Önlenmesi

Çalışanların Niteliği Ve Teknik Bilgi/Becerisinin Geliştirilmesi

Kişisel Veriler İçin Alınan İdari Tedbirlerin Yanı Sıra, Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Veri Güvenliği Konularında Düzenli Olarak Verilmesi Gereken Eğitimler

İletişim Teknikleri Ve İlgili Mevzuatlar Hakkında Bilgilendirme Eğitimleri

Oryantasyon Eğitimi (KVKK ile ilgili bir section eklenecek)

Şirket Çalışanlarına Gizlilik Sözleşmeleri İmzalatılması

İlgili Kişi/Kişilere Aydınlatma Metninin İmzalatılması

Kişisel Verilere Hukuka Aykırı Erişimin Önlenmesi Alınan İdari Tedbirler Listesi

Kurum İçi Yapılması Gereken Periyodik Ve Rastgele Denetimler & Denetim Raporları

KVKK Eğitim Takvimi

Teknik Tedbirler

Şirket teknik tedbirler kapsamında;

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

Anahtar yönetimi uygulanmaktadır.

Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

Erişim logları düzenli olarak tutulmaktadır.

Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

Güncel anti-virüs sistemleri kullanılmaktadır.

Güvenlik duvarları kullanılmaktadır.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

Saldırı tespit ve önleme sistemleri kullanılmaktadır.

Sızma testi uygulanmaktadır.

Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

Veri kaybı önleme yazılımları kullanılmaktadır.

Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi

Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi

Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması

Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama oluşturulması

Uygulama Güvenliği

Şifreleme

Silme, Yok Etme veya Anonim Hale Getirme

Örneklendirme olup şirketin aldığı tedbirlere göre revize edilmelidir.

PERSONEL

Kişisel Veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve görev tanımlarına işbu Politika’nın ekinde (EK-1: Kişisel Verilerin Saklama ve İmha Süreçlerinde Yer Alan Kişilere Dair Liste) yer alan listeden ulaşabilirsiniz

Kişisel Veriler’in Silinmesi ve Yok Edilmesi Teknikleri

Şirket tarafından Kişisel Veriler’in silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

Kişisel Verilerin Silinmesi:

Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcı’lar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde Kişisel Veri’nin ilgili yazılımdan silinmesine ilişkin yöntemlerin kullanılmasıdır.

Uzman Tarafından Güvenli Olarak Silme: Veri Sorumlusu’nun kendisi adına Kişisel Veriler’i silmesi için bir uzman ile anlaşmasıdır. Bu durumda, Kişisel Veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcı’lar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinecektir.

Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel Veriler’in amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili Kişisel Veriler’in fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

Kişisel Verilerin Yok Edilmesi:

De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki Kişisel Veriler’in okunamaz bir biçimde bozulması yöntemidir.

Fiziksel Yok Etme: Kişisel Veriler’in herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken Kişisel Veri’nin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sisteminin uygulanmasıdır

Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele verilerin yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.

Yukarıda sayılan durumlar gerçekleşmesi sırasında Şirket; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

Kişisel Veriler’in Anonim Hale Getirilmesi Teknikleri

Şirket tarafından Kişisel Veriler’in anonim hale getirilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri:

Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan Kişisel Veriler’de bir değişiklik veya ekleme/çıkarma yapılmaksızın; Kişisel Veri grubunun (- genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.

Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden yüksek dereceli betimleyici olanlarının çıkartılarak mevcut veri setinin anonim hale getirilmesidir.

Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkaralar saklanan veriler anonim hale getirilmektedir.

Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi yoluyla anonimleştirmenin sağlanmasıdır.

Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin, belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmesi mümkün olmaktadır.

Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve Kişisel Veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

Global Kodlama: Veri türetme yöntemi ile Kişisel Verinin içeriğinden daha genel bir içerik oluşturulmakta ve Kişisel Veri’nin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde ise, değer düzensizliği sağlamayanların aksine Kişisel Veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratılmaktadır.

Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir.

Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmış olacaktır.

Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir.

Yukarıdaki yöntemlerin belirlenmesinde Kurul tarafından yayımlanan güncel rehber kaynak alınmıştır.

7. DİĞER HUSUSLAR

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

8. YÜRÜRLÜK

Şirket tarafından hazırlanmış işbu Politika güncel olup tarihinde yürürlüğe girmiştir ve Şirket internet sitesinde yayımlanarak tüm ilgililere duyurulur. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Güncelleme tablosu işbu Politika’nın ekindedir (EK-3: Güncelleme Tablosu).

9. EKLER

EK-1: Kişisel Verilerin Saklama ve İmha Süreçlerinde Yer Alan Kişilere Dair Liste

EK-2: Kişisel Verilerin Saklama ve İmha Sürelerini Gösterir Tablo

EK-3: Güncelleme Tablosu

KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARA DAİR LİSTE

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 6. Maddesi’nin (f) fıkrası gereğince; Kişisel Veriler’i Saklama ve İmha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına yer verilmesinin gereği olarak işbu Politika’nın ekinde sunulan liste aşağıdaki gibidir;

PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİ PERSONEL GÖREV SORUMLULUK


PersonelGörevSorumluluk
…….. , DPOSaklama ve İmha Politikası Uygulama SorumlusuKVKK Başvuru irtibat kişisi, Görevi dahilinde olan Teknik ve Finansal İşler süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi, Periyodik güncelleme listelerinin yerine getirilmesinin sağlanması Verbis sisteminde yapılacak kayıt ve değişikliklerin takibi
İnsan Kaynakları Direktörüİnsan Kaynakları Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusuGörevi dahilinde olan İnsan Kaynakları ve İdari İşler süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi KVKK uyarınca veri sahiplerinin başvuru süreçlerinin yürütülmesi ve bu başvurular uyarınca imha sürecinin yönetimi


KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİNİ GÖSTERİR TABLO

Şirket tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiş olup, anılan Ana Envanter’e linki üzerinden erişilebilecektir.


SüreçSaklama Süresiİmha Süresi
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrasıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Genel Kurul İşlemleriBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
İhale/işyeri açma/bakanlıklar müsteşarlıklar evrak hazırlama süreçleriBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanmasıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Sözleşmelerin hazırlanmasıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
İşe alımBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
BordrolamaBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Personel özel sağlık ve ferdi kaza sigorta poliçelerinin hazırlanması organizasyonuBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Çalışanlara araç tahsis edilmesiBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
İş sağlığı ve güvenliği uygulamalarıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Active DirectoryBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Log/Kayıt/Takip SistemleriBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Ana veri oluşturma süreçleriBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Şirket ortakları ve yönetim kurulu üyelerine ait bilgilerBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Şirket kredi kartı tahsisiBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Ödeme işlemleriBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Personel Finansman SüreçleriBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazasıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Kaza RaporlamaBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Toplantı notlarının, katılımcılar ile paylaşılmasıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Doküman hazırlanmasıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Eğitim kayıtlarının dosyalanmasıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER
Acil Durum HazırlıklarıBAKINIZ ANA ENVANTERBAKINIZ ANA ENVANTER


KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLARIN LİSTESİ

İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.

(6 ayda bir güncellenecek)


Güncelleme TarihiDeğişikliklerin Kapsamı
10/05/2024Tüm kişisel veri saklama ve imha politikası revize edilmiştir.