VERİ SAKLAMA VE İMHA PROSEDÜRÜ
AMAÇ
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a dayalı olarak çıkarılmış ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. ve 6. maddeleri gereği; kişisel verilerin saklanması ve imhasına ilişkin yükümlülükler ile Yönetmelik’te belirtilen diğer yükümlülüklerin yerine getirilmesi için uygulanacak kuralları belirlemektir.
KAPSAM
Şirketin çalışanları, çalışan adayları, müşterileri, ziyaretçileri, veri aktardığı yetkili kurum ve kuruluşlar ile diğer 3. kişilerin veri sorumlusu şirket tarafından işlenen tüm kişisel verilerini ve özel nitelikli kişisel verilerini kapsamaktadır.
TANIMLAR
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmedir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Veri İşleme Envanteri: Veri sorumlularının gerçekleştirdikleri kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirmesi işlemidir.
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
UYGULAMA
Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi bünyesinde bulunan kayıt ortamından işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir. Şirket içerisinde veri saklama ve imha hususunda, her departman sorumlusu departmanın veri işleme faaliyetleri yönünden sorumludur.
Kişisel Verilerin İmhası: Kişisel verilerin işlenmesindeki amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, Yönetmeliğin 7., 8., 9., 10. maddeleri kapsamında silinir, yok edilir veya anonim hale getirilir.
Kişisel Verilerin Silinmesi Süreci: Silme işlemine konu kişisel veriler belirlenerek her bir kişisel veri için ilgili kullanıcıların tespit edilir ve kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetki ve yöntemleri de tespit edilerek kapatılır ve ortadan kaldırılır.
Kişisel Verilerin Silinmesi Yöntemleri:
» Kağıt ortamında bulunan kişisel veriler: Karartma yöntemi kullanılarak silinmektedir.
» Merkezi sunucuda bulunan kişisel veriler: İşletim sistemindeki silme komutu ile silinir ya da ilgili kullanıcının erişim hakları kaldırılır.
» Bulut ortamında bulunan kişisel veriler: Silme komutu verilerek, silinen verilerin geri getirilemeyeceği şekilde silinir.
» Taşınabilir medyada bulunan kişisel veriler: Şifreli olarak saklanır ve uygun yazılımlarla silinir.
» Veri tabanları: İlgili satırlar veri tabanı komutları ile silinir.
Kişisel Verilerin Yok Edilmesi Yöntemleri:
» Yerel sistemlerde bulunan kişisel veriler: Fiziksel olarak yok etme ya da eski verinin kurtarılması mümkün olmayacak şekilde üzerine yazma yöntemi ile yok edilir.
» Çevresel sistemlerde bulunan kişisel veriler: Fiziksel olarak yok etme ya da eski verinin kurtarılması mümkün olmayacak şekilde üzerine yazma yöntemi ile yok edilir.
» Kağıt ortamında bulunan kişisel veriler: Kağıt imha veya kırpma makinaları kullanılarak yok edilir. Tarama yoluyla elektronik ortama aktarılması halinde silme komutu ile silinir.
Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri: Değişkenleri çıkartma, kayıtları çıkartma ve genelleştirme yöntemleri kullanılarak kişisel veriler anonim hale getirilir.
VERİ SAHİBİNİN TALEBİ ÜZERİNE KİŞİSEL VERİLERİN İMHASI
Kişisel veri sahibi gerçek kişinin, Kanunun 13. maddesine istinaden kendisine ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebiyle veri sorumlusu şirkete başvurması halinde, başvuru tarihinden itibaren en geç 30 gün içinde başvurusu sonuçlandırılır ve başvuru sahibine bilgi verilir. İşleme şartlarının tamamının ortadan kalkıp kalkmadığı ayrıntılı olarak incelenir ve kalkmış olduğunun tespit edilmesi halinde talebe konu kişisel veriler en geç 3 ay içerisinde belirlenen uygun yöntemlerle silinir, yok edilir veya anonim hale getirilir. Söz konusu kişisel veri 3. kişilere aktarılmışsa durum derhal bu kişilere de bildirilir ve gerekli işlemlerin yapılması temin edilir.
KİŞİSEL VERİLERİN PERİYODİK GÖZDEN GEÇİRİLMESİ
Kişisel veriyi işleyen ve saklayan ilgili birimlerin her biri, kişisel veri işleme şartlarının tamamının ortadan kalkıp kalkmadığını, 6 aylık periyodlarla (ocak ayının ve temmuz ayının sonu olarak belirlenmiştir) gözden geçirir. Ancak veri sahibinin başvurusu veya mahkeme bildirimi durumunda, bu süre beklenmeksizin gerekli gözden geçirme yerine getirilir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili işlemler kayıt altına alınarak bu kayıtlar 3 yıl süreyle saklanır.
KİŞİSEL VERİLERİN SAKLANMASI
Kişisel veriler, Kişisel Veri İşleme Envanteri’nde belirtilen işleme süresi boyunca saklanır. Saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha edilirler. Periyodik olarak ya da talep üzerine gerçekleştirilecek imha işlemlerinde, söz konusu saklama ve imha süreleri dikkate alınacaktır.
| Veri Kategorisi |
Veri Saklama Süresi |
| Kimlik |
10 Yıl |
| İletişim |
10 Yıl |
| Özlük |
10 Yıl |
| Hukuki İşlem |
10 Yıl |
| Müşteri İşlem |
10 Yıl |
| Fiziksel Mekan Güvenliği |
2 Yıl |
| İşlem Güvenliği |
2 Yıl |
| Finans |
10 Yıl |
| Mesleki Deneyim |
2 Yıl |
| Görsel ve İşitsel Kayıtlar |
2 Yıl |
| Din Bilgisi |
10 Yıl |
| Sağlık Bilgileri |
10 Yıl |
| Ceza Mahkumiyeti ve Güvenlik Tedbirleri |
10 Yıl |
SAKLAMA VE İMHAYA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER
İdari Tedbirler: Çalışanlara veri güvenliği konusunda aralıklarla eğitim verilmesi, kişisel veri işleme ve imha konusunda kurumsal politika uygulanması, çalışanların işten ayrılması durumunda yetki ve erişimlerinin kaldırılması, sözleşmelerin güvenlik hükümleri içermesi, kişisel veri güvenliği takibi yapılarak sorunların hızlı şekilde raporlanması, kişisel veri içeren ortamların güvenliğinin sağlanması, kişisel veri hususunda veri minimizasyonu yapılması, kurumsal denetimlerin aralıklarla yapılması, kişisel veri işlenmeden önce ilgilileri aydınlatma yükümlülüğünün yerine getirilmesi, kişisel veri işlenmeden önce ilgililerden açık rıza alınmasından ibarettir.
Teknik Tedbirler: Ağ ve uygulama güvenliği sağlanması, güncel anti-virüs sistemleri kullanılması, güvenlik duvarları kullanılması, kişisel verilerin yedeklenmesi, şifreleme yapılması, bilgi sistemlerinin güncel tutulması, güvenli kayıt tutma ve yedekleme programlarının kullanılması, veri erişimi konusunda görev dağılımı bulunması, kişisel veri işlenen elektronik ortamlarda güçlü parolalar kullanılması, veri güvenliği konusunda donanımsal, yazılımsal ve fiziksel tedbirlerin belirlenerek uygulanmasından ibarettir.
İşbu politika, veri sorumlusu İTİNA GÖMLEK SAN. VE TİC. LTD. ŞTİ. tarafından 30.09.2020 tarihinde kabul edilmiş olup ihtiyaç duyuldukça gözden geçirilerek gerekli bölümler güncellenecektir.
İTİNA GÖMLEK
SAN. VE TİC. LTD. ŞTİ.
TR
