Özel Nitelikli Kişisel Verilerin Güvenliğine İlişkin Politika

Motif Tekstil Nakış Sanayi Ve Ticaret Limited Şirketi Kişisel Veri Saklama ve İmha Politikası

(“Politika”)

 

Doküman Bilgileri

Doküman Adı:

Motif Tekstil Nakış Sanayi Ve Ticaret Limited Şirketi Kişisel Veri Saklama ve İmha Politikası

Hedef Kitle

Motif Tekstil Nakış Sanayi Ve Ticaret Limited Şirketi tarafından kişisel verileri işlenen tüm gerçek kişiler

Referans / Gerekçe

6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve sair ilgili ikincil düzenlemeler

Onaylayan:

Motif Tekstil Nakış Sanayi Ve Ticaret Limited Şirketi [Müdür/Müdürler]

       

 

 

İşbu belge Motif Tekstil Nakış Sanayi Ve Ticaret Limited Şirketi’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.

 

 

 

 

İçindekiler

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI 3 

I.  KAPSAM.. 3 

II. TANIMLAR. 3 

III.  AMAÇ VE KAPSAM.. 5 

IV.  KAYIT ORTAMLARI 5 

V.   KİŞİSEL VERİ’LERİN SAKLANMASINI VE İMHASI’NI GEREKTİREN SEBEPLER. 6 

VI. KİŞİSEL VERİ’LERİN İMHA EDİLMESİ İŞLEMİ İLE İLGİLİ UYGULANAN YÖNTEMLER VE KİŞİSEL VERİ’LERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER  7 

VII. KİŞİSEL VERİ’LERİN İMHA YÖNTEMLERİ 8 

VIII. SAKLAMA VE İMHA SÜRELERİ 13 

IX. SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI 14 

X. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER. 14 

XI. POLİTİKA’NIN YÜRÜRLÜK TARİHİ 14 

MOTİF TEKSTİL NAKIŞ SANAYİ VE TİCARET LİMİTED ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

I. KAPSAM

 

1.1.        İşbu Motif Tekstil Nakış Sanayi Ve Ticaret Limited Şirketi Kişisel Veri Saklama ve İmha Politikası (“Politika”), Motif Tekstil Nakış Sanayi Ve Ticaret Limited Şirketi (“Şirket”) bünyesinde veya Şirket adına kişisel veri işlenen herhangi bir sürece dahil olan tüm Şirket departmanları ve çalışanları ile üçüncü kişileri ve kişisel verileri işlenen tüm gerçek kişileri kapsamaktadır.

1.2.        İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.

1.3.        İşbu Politika, ilgili mevzuatın gerektirmesi halinde yahut Şirket’in gerekli gördüğü hallerde zaman zaman [Müdür/Müdürler] onayı ile değiştirilebilir.

1.4.        İlgili mevzuat düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde ilgili mevzuat düzenlemeleri esas alınır.

 

II.            TANIMLAR

 

Açık Rıza 

Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Alıcı Grubu

Veri Sorumlusu tarafından Kişisel Veri’lerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.

Anayasa

Türkiye Cumhuriyeti Anayasası’nı ifade eder.

Anonim Hale Getirme veya Anonimleştirme

Kişisel Veri’lerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

Anonim Hale Getirilmiş Veri 

Başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmiş veriyi ifade eder.

İlgili Kişi

Şirket tarafından veya Şirket adına yetkilendirilmiş kişiler/kurumlar tarafından Kişisel Veri’leri işlenen gerçek kişileri ifade eder.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda Kişisel Veri’leri işleyen kişileri ifade eder.

İmha

Kişisel Veri’lerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesini ifade eder.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veri’lerin bulunduğu her türlü ortamı ifade eder.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan Özel Nitelikli Kişisel Veri’leri de kapsayacaktır).

Kişisel Verilerin İşlenmesi

Kişisel Veri’lerin tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder.

Kurul

Kişisel Verileri Koruma Kurulu’nu ifade eder.

Kurum

Kişisel Verileri Koruma Kurumu’nu ifade eder.

KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

KVK Düzenlemeleri

KVKK ile yürürlükte bulunan Kişisel Veri’lerin korunmasına ilişkin uygulanabilir uluslararası sözleşmeler, ilgili kanun ve düzenlemeler, Kurul kararları, Kurum rehberleri, sair düzenleyici ve denetleyici otorite, mahkeme ve diğer resmi makam kararları/talimatları ile ileride yürürlüğe girebilecek olan Kişisel Veri’lerin korunması alanındaki tüm düzenlemeler ve bunlarda yapılacak değişiklikleri ifade eder.

KVK Prosedürleri

Şirket’in, Şirket çalışanlarının KVK Politikaları kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.

Sicil

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili’ni ifade eder.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Silme veya Silinme

Kişisel Veri’lerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

Veri Envanteri

Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veri’leri işleme faaliyetlerini; Kişisel Veri’leri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Veri’lerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Veri’leri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanteri ifade eder.

Veri Kayıt Sistemi

Kişisel Veri’lerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Veri Sorumlusu

Kişisel Veri’lerin işleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sistemi’nin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’i ifade eder.

Yok Etme

Kişisel Veri’lerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

 

III. AMAÇ VE KAPSAM

 

3.1.        Yönetmelik hükümleri uyarınca Şirket, Sicil’e kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, KVK Düzenlemeleri uyarınca oluşturmuş olduğu Veri Envanteri’ne uygun bir şekilde Kişisel Veri’leri, saklamak ve gerektiğinde İmha etmek için bir politika hazırlamak ve bu politikaya uygun hareket etmek ile yükümlüdür. Bu kapsamda Şirket, sayılan yükümlülükleri yerine getirmek amacıyla işbu Politika’yı hazırlamıştır.

 

3.2.        İşbu Politika ile Şirket, Kişisel Verilerin İşlenmesi faaliyetlerine konu İlgili Kişi’lerin Kişisel Veri’lerinin saklanması ve İmha edilmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla KVK Düzenlemeleri’nde belirlenen yükümlülüklerin Şirket ve Şirket’in Veri İşleyenleri tarafından yerine getirilmesini hedeflemiştir.

 

3.3.        İşbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır.

 

3.4.        Kişisel Veri’lerin saklanması ve İmha’sında aşağıdaki ilkeler geçerli olacaktır:

 

  1.  

3.1.    

3.2.    

3.3.    

3.4.    

3.4.1.   KVKK’nın 4. maddesindeki genel ilkeler ve Yönetmelik’in 7. maddesindeki ilkelere uyulacaktır.

3.4.2.   Şirket, işbu Politika’yı hazırlamış olmanın tek başına Kişisel Veri’lerin KVK Düzenlemeleri’ne uygun olarak İmha edildiği anlamına gelmeyeceğini kabul etmektedir.

3.4.3.   Şirket, Kişisel Veri’leri saklanması yahut İmha’sında, KVK Düzenlemeleri’ne ve işbu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.

 

IV. KAYIT ORTAMLARI

 

Şirket, KVK Düzenlemeleri kapsamındaki Kişisel Verilerin İşlenmesi faaliyetlerine konu tüm Kişisel Veri’leri, tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veri’lerin bulunduğu ve aşağıda belirtilen ortamlarda saklamaktadır. Şirket, işbu Politika ile Kişisel Veri içeren ve aşağıda sayılmış olan ortamlara ek olarak ortaya çıkabilecek diğer ortamlardaki Kişisel Veri’leri de işbu Politika’nın kapsamına dahil etmeyi kabul eder.

 

Elektronik Kayıt Ortamları

 

Elektronik Olmayan Kayıt Ortam

Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.)

Kağıt

Yazılımlar (ofis yazılımları, portal)

Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

Bilgi güvenliği cihazları (güvenlik

duvarı, saldırı tespit ve engelleme, günlük

kayıt dosyası, anti virüs vb. )

Yazılı, basılı, görsel ortamlar

Kişisel bilgisayarlar (masaüstü, dizüstü)

 

İş akdi kapsamında tahsis edilen mobil cihazlar ve içerisindeki tüm saklama alanları (telefon, tablet vb.)

 

Optik diskler (CD, DVD vb.)

 

Çıkartılabilir bellekler (USB, Hafıza

Kart vb.)

 

Yazıcı, tarayıcı, fotokopi makinesi, parmak izi okuyucu gibi çevre birimler

 

4. 

4.1. 

 

 

V. KİŞİSEL VERİ’LERİN SAKLANMASINI VE İMHA’SINI GEREKTİREN SEBEPLER

 

Şirket, Kişisel Veri’leri, yukarıda bahsi geçen ilkelerle uyumlu şekilde, Motif Tekstil Nakış Sanayi Ve Ticaret Limited Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın ilgili maddelerinde yer alan Kişisel Verilerin İşlenmesi amaçlarıyla ve aşağıda belirtilen KVKK’nın 5. ve 6. maddelerinde yer alan Kişisel Verilerin İşlenmesi şartlarına istinaden Kişisel Veri’leri saklamakta ve söz konusu şartların tamamının ortadan kalkması halinde, Kişisel Veri’leri re’sen veya İlgili Kişi’nin talebi üzerine İmha etmektedir.

 

Şirket, Kişisel Veri’lerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

 

5.1.        Kişisel Veri’lerin Saklanmasını Gerektiren Durumlar

 

Şirket, (i) kanunlarda açıkça öngörülmesi, (ii) fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin İşlenmesi’nin gerekli olması, (iv) hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması, (v) bir hakkın tesisi, kullanılması veya korunması için Kişisel Verilerin İşlenmesi’nin zorunlu olması, (vi) İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için Kişisel Verilerin İşlenmesi’nin zorunlu olması hallerinde Kişisel Veri’leri KVK Düzenlemeleri’ne uygun olarak saklar. Şirket ayrıca (i) İlgili Kişi’nin Açık Rıza’sının bulunması ve (ii) KVKK’nın 6. maddesinin (3) numaralı fıkrasında yer verilen Özel Nitelikli Kişisel Veri’lerin işlenmesi şartlarının bulunması durumunda da Kişisel Veri’leri KVK Düzenlemeleri’ne uygun olarak saklar.

 

5.2.        Kişisel Veri’lerin İmhasını Gerektiren Durumlar

 

Kişisel Veri’lerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu veriler, re’sen veya İlgili Kişi’nin talebi üzerine Şirket  tarafından İmha edilir. Buna göre Şirket:

 

  • Kişisel Veri’leri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel Veri’lerin işlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel Veri’leri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi, Kişisel Veri’leri işlemenin sadece Açık Rıza şartına istinaden gerçekleştiği hallerde, İlgili Kişi’nin rızasını geri alması,
  • İlgili Kişi’nin, KVKK’nın 11. maddesinde tanınan hakları çerçevesinde Kişisel Veri’leri işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirket’in, İlgili Kişi tarafından Kişisel Veri’lerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi durumunda, Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel Veri’lerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, Kişisel Veri’leri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  • KVKK’nın 5. ve 6. maddelerindeki Kişisel Veri’lerin işlenmesini gerektiren şartların ortadan kalkması

 

gibi hallerde Kişisel Veri’leri İmha eder.

5. 

5.1. 

5.2. 

 

Şirket, Kişisel Verilerin İşlenmesi şartlarının belirlenmesinden ve güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır. Şirket, yukarıda belirtilen hallerde Kişisel Veri’leri KVK Düzenlemeleri’ne, işbu Politika’ya ve işbu Politika uyarınca Şirket tarafından oluşturulacak KVK Prosedürleri’ne uygun bir şekilde re’sen veya İlgili Kişi’nin talebi üzerine İmha etmekle yükümlüdür.

 

VI. KİŞİSEL VERİ’LERİN İMHA EDİLMESİ İŞLEMİ İLE İLGİLİ UYGULANAN YÖNTEMLER VE KİŞİSEL VERİ’LERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

 

Şirket, Kişisel Veri’lerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, KVKK’nın 12. maddesi ve Yönetmelik hükümleri, işbu Politika ve Politika kapsamında çıkarılan KVK Prosedürleri, Kurul kararları ile Kurum rehberleri uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:

 

6.1. Teknik Tedbirler 

 

  1.  

6.1.         

6.1.1.        Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

6.1.2.        İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak yetki matrisi oluşturulmuş, kişisel hesap yönetimi sistemi kurulmuş ve şifreleme sistemleri aktive edilmiştir.

6.1.3.        Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve donanımlar kurulmakta, log kayıtları tutulmakta ve düzenli yedeklemeler yapılmaktadır.

6.1.4.        Ağ güvenliğini sağlamak için gerekli yazılım ve donanım kurulmakta, yetki kontrolleri ve sızma testleri 6 (altı) aylık aralıklarla gerçekleştirilmektedir. Bu kapsamda, güvenlik duvarları ve saldırı tespit ve önleme sistemleri kullanılmaktadır.

6.1.5.        Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

6.1.6.        Açık Rıza dışında KVKK’nın 5. ve 6. maddelerinde düzenlenen hiçbir şart kapsamında değerlendirilemeyen ve işleme amacı bakımından Açık Rıza temin edilememiş Kişisel Veri’ler maskelenerek işlenmektedir.

 

6.2.        İdari Tedbirler 

 

  1.  
  2.  
  3.  
  4.  

6.1.        

6.2.        

6.2.1.       Şirket, çalışanlarını KVK Düzenlemeleri hakkında düzenli olarak (6 (altı) aylık periyotlarla) bilgilendirmekte ve eğitimler vermektedir. Eğitimler kapsamında, çalışanlara rolleri ve sorumlulukları anlatılmakta ve Şirket Kişisel Veri işleme faaliyetleri bakımından ‘yasaklanmadıkça her şey serbest’ prensibi yerine ‘izin verilmedikçe her şey yasak’ prensibinin geçerli olduğu açıklanmaktadır. Çalışanlar ile iş akdinin ifası sırasında öğrendikleri Kişisel Veri’leri KVK Düzenlemeleri’ne aykırı şekilde işlemeyecekleri ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda gizlilik sözleşmesi imzalanarak Kişisel Veri’lerin korunması adına gerekli taahhütler alınmıştır. Bu kapsamda, çalışan iş akitlerine ve disiplin yönetmeliklerine KVK Düzenlemeleri’ne uygun hükümler eklenmiştir. Şirket içi organizasyonlarında, bu taahhütlere ve sair gizlilik yükümlülüklerine uyulmaması durumunda işletilecek disiplin süreçlerini hazırlamıştır.

6.2.2.       İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel Veri’lere erişim ve yetkilendirme süreçleri tasarlanmış ve uygulanmaktadır.

6.2.3.       Şirket tarafından Kişisel Veri’lerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, söz konusu üçüncü kişiler tarafından da Kişisel Veri’lerin KVK Düzenlemeleri’ne uygun şekilde işleneceğine ilişkin hükümler eklenmektedir.

6.2.4.       Kurum içi periyodik ve/veya rastgele denetimler yapılmaktadır. Risk analizleri gerçekleştirilerek gerekli önlemler alınmaktadır.

 

6.3.        Kişisel Veri’lerin Korunması Konusunda Alınan Tedbirlerin Denetimi 

 

Şirket, KVKK’nın 12. maddesine uygun olarak, gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

 

VII. KİŞİSEL VERİ’LERİN İMHA YÖNTEMLERİ

 

Şirket, KVKK’nın 5. ve 6. maddelerinde yer alan Kişisel Verilerin İşlenmesi şartlarının tamamının ortadan kalkması halinde, Kişisel Veri'leri aşağıdaki yöntemlerle İmha etmektedir. Şirket, Kişisel Veri’lerin İmha’sında azami dikkat ve özeni göstermektedir. Bu kapsamda Şirket, KVKK’nın 12. maddesi ve Yönetmelik hükümleri, işbu Politika ve işbu Politika kapsamında oluşturulan KVK Prosedürleri ile Kurul kararları ve Kurum rehberleri uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır. Şirket, Kurul tarafından aksine bir karar alınmadıkça, Kişisel Veri’leri re’sen Silme, Yok Etme veya Anonim Hale Getirme yöntemlerinden uygun olanını teknolojik imkanlar ve uygulama maliyetine göre seçmektedir.

 

7.1.  Kişisel Veri’lerin Silinme Yöntemleri

 

Kişisel Veri’lerin silinmesi, Kişisel Veri’lerin İlgili Kullanıcı’lar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, silinen Kişisel Veri’lerin İlgili Kullanıcı’lar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

Bu kapsamda Şirket, Kişisel Veri’leri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:

 

  1. a.  Kağıt Ortamı

Kağıt ortamında bulunan Kişisel Veri’ler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki Kişisel Veri’lerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak İlgili Kullanıcı’lara görünemez hale getirilmesi şeklinde yapılır.

  1. b.  Merkezi Sunucuda Yer Alan Ofis Dosyaları

Dosya işletim sistemindeki Silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde İlgili Kullanıcı’nın erişim hakları kaldırılır. Anılan işlem gerçekleştirilirken İlgili Kullanıcı’nın aynı zamanda sistem yöneticisi olmadığına dikkat edilir.

  1. c.  Taşınabilir Medya

Flash tabanlı saklama ortamlarındaki Kişisel Veri’ler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.

  1. d.  Veri Tabanları

Kişisel Veri’lerin bulunduğu ilgili satırların veri tabanı komutları (DELETE vb.) ile silinir. Anılan işlem gerçekleştirilirken İlgili Kullanıcı’nın aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.

 

Belirtilen Silme yöntemleri, KVK Düzenlemeleri’ne bağlı olup ilgili durumlarda güncellenmesi Şirket’in sorumluluğundadır.

 

7.2.        Kişisel Veri’lerin Yok Edilme Yöntemleri

 

Kişisel Veri’lerin yok edilmesi, Kişisel Veri’lerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, Kişisel Veri’lerin yok edilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

Bu kapsamda Şirket, Kişisel Veri’leri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:

 

  1. a.  Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

  1. b. Manyetize Etme

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.

  1. c.  Fiziksel Yok Etme

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

  1. d. Bulut Sistemleri

Bulut sistemleri üzerinde tutulan Kişisel Veri’lerin yok etme bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından Kişisel Veri’lerin şifreleme anahtarlarının tüm kopyalarının İmha edilmesi işlemidir.

  1. e.  Çevresel Sistemler

Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan ve Kişisel Veri’leri barındıran, mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken yok etme işlemidir. Bu tip yok etme işlemlerinin, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

  1. f.  Kağıt ve Mikrofis Ortamları

Söz konusu ortamlardaki Kişisel Veri’ler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortam yok edilir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.

 

Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan Kişisel Veri’ler ise bulundukları elektronik ortama göre yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.

 

7.3.  Kişisel Veri’lerin Anonimleştirilme Yöntemleri

 

Kişisel Veri’lerin anonim hale getirilmesi, Kişisel Veri’lerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel Veri’lerin anonim hale getirilmiş olması için; Kişisel Veri’lerin, Şirket, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Şirket, Kişisel Veri’lerin anonim hale getirilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

Şirket, Kişisel Veri’lerin anonimleştirilmesine karar vermesi durumunda aşağıdaki şartları yerine getirir:

 

  1. a.    Anonim hale getirilmiş veri kümesinin bir başka veri kümesiyle birleştirilerek anonimliğinin bozulamaması,
  2. b.   Bir ya da birden fazla değerin bir kaydı tekil hale getirebilecek şekilde anlamlı bir bütün oluşturulmaması,
  3. c.    Anonim hale getirilmiş veri kümesindeki değerlerin birleşip bir varsayım veya sonuç üretebilir hale gelmemesi.

 

Yukarıda sayılan riskler sebebiyle Şirket, Anonim Hale Getirdiği veri kümeleri üzerinde düzenli kontroller yapar ve anonimliğin korunduğundan emin olur.

 

Aşağıda belirtilen Anonim Hale Getirme yöntemleri uygulanırken Şirket tarafından verinin niteliği, büyüklüğü, fiziki ortamlarda bulunma yapısı, çeşitliliği, sağlanmak istenen fayda / işleme amacı, işleme sıklığı, aktarılacağı tarafın güvenilirliği, Anonim Hale Getirilmesi için harcanacak çabanın anlamlı olması, anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, dağıtıklık/merkezilik oranı, kullanıcıların ilgili veriye erişim yetki kontrolü, anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcanacak çabanın anlamlı olması ihtimalini dikkate alınır.

 

Bir Kişisel Veri’yi anonim hale getiren Şirket, Kişisel Veri’yi aktardığı diğer kurum ve kuruluşların bünyesinde olduğu bilinen ya da kamuya açık bilgilerin kullanılması ile söz konusu verinin yeniden bir kişiyi tanımlar nitelikte olup olmadığını, yapacağı sözleşmelerle ve risk analizleriyle kontrol eder.

 

 

Bu kapsamda Şirket, Kişisel Veri’leri anonim hale getirme işlemi için aşağıdaki yöntemleri uygulamaktadır:

 

  1. a. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri

 

Değer düzensizliği sağlamayan yöntemlerde veri kümesinin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılır.

 

  • Değişkenleri Çıkartma

Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir Anonim Hale Getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır.

  • Kayıtları Çıkartma 

Bu yöntemde ise veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür.

  • Bölgesel Gizleme 

Bölgesel gizleme yönteminde de amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.

  • Genelleştirme 

İlgili Kişisel Veri’yi özel bir değerden daha genel bir değere çevirme işlemidir. Genelleştirme işlemi sonucunda elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.

  • Alt ve Üst Sınır Kodlama

Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir.

  • Global Kodlama 

Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.

  • Örnekleme 

Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.

 

  1. b. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri

 

Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak, mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Bu durumda kayıtların taşıdığı değerler değişmekte olduğundan veri kümesinden elde edilmesi planlanan faydanın doğru hesaplanması gerekmektedir. Veri kümesindeki değerler değişiyor olsa bile toplam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir.

 

  • Mikro Birleştirme

Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.

  • Veri Değiş Tokuşu

Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.

  • Gürültü Ekleme

Bu yöntem ile seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkarmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.

 

  1. c.       Anonim Hale Getirmeyi Kuvvetlendirici İstatistik Yöntemler

 

Anonim hale getirilmiş veri kümelerinde kayıtlardaki bazı değerlerin tekil senaryolarla bir araya gelmesi sonucunda, kayıtlardaki kişilerin kimliklerinin tespit edilmesi veya Kişisel Veri’lerine dair varsayımların türetilebilmesi ihtimali ortaya çıkabilmektedir. Bu sebeple anonim hale getirilmiş veri kümelerinde çeşitli istatistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliğini minimuma indirerek anonimlik güçlendirilebilmektedir.

 

Bu yöntemlerdeki temel amaç, anonimliğin bozulması riskini en aza indirerek veri kümesinden sağlanacak faydayı da belli bir seviyede tutabilmektir.

 

  • K-Anonimlik

K-anonimlik, bir veri kümesindeki belirli alanlarla, birden fazla kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engellemek için geliştirilmiştir. Bir veri kümesindeki değişkenlerden bazılarının bir araya getirilerek oluşturulan kombinasyonlara ait birden fazla kayıt bulunması halinde, bu kombinasyona denk gelen kişilerin kimliklerinin saptanabilmesi olasılığı azalmaktadır.

  • L-Çeşitlilik

K-anonimliğin eksikleri üzerinden yürütülen çalışmalar ile oluşan L-çeşitlilik yöntemi aynı değişken kombinasyonlarına denk gelen hassas değişkenlerin oluşturduğu çeşitliliği dikkate almaktadır.

  • T-Yakınlık

Kişisel Veri’lerin, değerlerin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayrılarak anonim hale getirilmesi sürecine T-yakınlık yöntemi denmektedir.

 

VIII.  SAKLAMA VE İMHA SÜRELERİ

 

8.1.        Periyodik İmha ve Yasal Saklama Süreleri

 

Yasal saklama ve İmha sürelerini dolduran fiziksel ve dijital ortamda bulunan Kişisel Veriler, periyodik olarak İmha edilir. Şirket, Kişisel Veri’leri İmha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik İmha işleminde, Kişisel Veri’leri İmha eder. Periyodik İmha, tüm Kişisel Veri’ler için 6 (altı) aylık zaman aralıklarında gerçekleştirilir. Anılan süre, her hal ve koşulda Yönetmelik’in 11. maddesinde belirtilen azami periyodik imha süresini aşmamaktadır.

 

Periyodik İmha sırasında baz alınacak yasal saklama ve İmha süreleri, Veri Envanteri’nde ve işbu Politika’ya ek ve saklama sürelerini gösterir Şirket, KVK Düzenlemeleri kapsamında Kurul’un süreleri kısaltması durumunda, yeni sürelere uyum sağlayacağını taahhüt eder.

 

İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır. Şirket’in diğer hukuki yükümlülüklerden kaynaklanan Kişisel Veri saklama hakları saklıdır.

  

8.2. İlgili Kişi’lerin Talep Etmesi Durumunda Silme ve Yok Etme Süreci

 

İlgili Kişi’nin, Şirket’e başvurarak kendisine ait Kişisel Veri’lerin İmha edilmesini talep etmesi halinde Şirket:

 

(a) Kişisel Verilerin İşlenmesi şartlarının tamamı ortadan kalkmışsa:

 

(i)   İlgili Kişi’nin talebini en geç 30 (otuz) gün içinde sonuçlandırır ve İlgili Kişi’ye bilgi verir, ve

(ii) talebe konu olan Kişisel Veri’ler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.

 

(b)                    Kişisel Verilerin İşlenmesi şartlarının tamamı ortadan kalkmamışsa, İlgili Kişi’nin talebini KVKK’nın 13. maddesinin (3) numaralı fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını İlgili Kişi’ye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirir.

 

IX. SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI

 

Şirket, Kişisel Veri’lerin saklanması ve İmha edilmesi süreçlerinde yer alan kişileri, KVK Düzenlemeleri ve Kişisel Veri’lerin hukuka uygun olarak işlenmesi konusunda bilgilendirmekte ve eğitmektedir. Bu kapsamda, Şirket çalışanları ve görevleri dolayısıyla Kişisel Veri’leri öğrenen kişiler, bahse konu bilgileri KVK Düzenlemeleri’ne uygun olarak saklamakta ve İmha etmektedir. Bu yükümlülük, söz konusu kişilerin görevden ayrılmalarından sonra da devam etmektedir.

 

X. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

 

10.1.  KVK Düzenlemeleri’nde yapılacak her türlü resmi değişiklik uyarınca veya Şirket tarafından işbu Politika zaman zaman [Müdür/Müdürler] onayı ile değiştirilebilir. KVK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.

 

10.2.  Şirket, güncel Politika versiyonunu e-posta yolu ile çalışanlarıyla paylaşacak ve/veya internet sitesi üzerinden çalışanlarının erişimine sunacaktır.

 

XI. POLİTİKA’NIN YÜRÜRLÜK TARİHİ

 

Politika’nın işbu versiyonu, bu versiyonu 31/12/2021 tarihinde Şirket [Müdür/Müdürler] tarafından onaylanarak yürürlüğe girmiştir.