Veri Saklama ve İmha Politikası
VERİ SAKLAMA VE İMHA POLİTİKASI
Kişisel Verilerin Korunması Kanunu Uyum Projesi kapsamında hazırlanmış işbu Veri Saklama ve İmha Politikası (bundan böyle “Politika” olarak anılacaktır.) 7 Nisan 2016 tarihinde 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “KVKK” ve/veya “Kanun” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hükümleri karşısında Destek İstihdam Hizmetleri Yönetim Sistemleri Eğitim ve Danışmanlık Ticaret Limited Şirketi (bundan böyle “Veri Sorumlusu” veya “Faveo” olarak anılacaktır) mevcut durumunu tespit ederek bu tespitler çerçevesinde hukuken yapılması gerekenleri (bundan böyle “Saklama ve İmha Süreçleri” olarak anılacaktır.) belirlemek amacıyla hazırlanmıştır.
Bu Politika metninde yer alan tüm içeriklerin, bireysel kullanım dışında kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır.
İÇİNDEKİLER
1. GİRİŞ
1.1. Amaç
1.2. Kapsam
1.3. Kısaltmalar ve Tanımlar
2. SORUMLULUK ve GÖREV DAĞILIMLARI
3. KAYIT ORTAMLARI
4. KİŞİSEL VERİLERİ SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
4.1. Saklamaya İlişkin Açıklamalar
4.1.1. Saklamayı Gerektiren Hukuki Sebepler
4.1.2. Saklamayı Gerektiren İşleme Amaçları
4.2. İmhayı Gerektiren Sebepler
4.3. Kişisel Verilerin İmha Yöntemleri
4.3.1. Kişisel Verilerin Silinmesi
4.3.2. Kişisel Verilerin Yok Edilmesi
4.3.3. Kişisel Verilerin Anonim Hale Getirilmesi
5. SAKLAMA ve İMHA SÜRELERİ ve YÖNTEMİ
6. PERİYODİK İMHA SÜRESİ
7. TEKNİK ve İDARİ TEDBİRLER
7.1. Teknik Tedbirler
7.2. İdari Tedbirler
8. YAYIN ve SAKLAMA
9. GÜNCELLEME PERİYODU
10. YÜRÜRLÜK
1. GİRİŞ
1.1. Amaç
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “KVKK” ve/veya “Kanun” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca, FAVEO tabi olduğu ilgili düzenlemeler, Kanun ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verilerin usulüne uygun saklanmasına ve gerektiği takdirde uygun yöntemler ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre sonunda imha edilmesine azami hassasiyet göstermektedir.
Nitekim bu hassasiyet doğrultusunda işbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”) hazırlanarak FAVEO tarafından gerçekleştirilmekte olan veri saklama ve imha faaliyetlerine ilişkin süreç yönetimlerinin usul ile esasları belirlenmiştir.
FAVEO faaliyetleri sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlenen yöntemler hakkında aşağıda açıklamalar yer almakta olup kişisel verilerin saklanması ve imhasına ilişkin süreç baştan sona işbu Politika uyarıca yürütülmektedir.
1.2. Kapsam
FAVEO tarafından işlenen kişisel verilerin elektronik ve/veya basılı her türlü ortamda saklanmasına ve imhasına ilişkin olarak hazırlanan işbu Politika KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenlemeler ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.
FAVEO çalışanları, çalışan adayları, müşterileri, üyeleri, hizmet sağlayıcıları, tedarikçileri, iş ortakları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup FAVEO tarafından sahip olunan ve/veya FAVEO tarafından yönetilen tüm kişisel veri kayıt ortamları ile kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
|
Alıcı Grubu |
: |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder. |
|
Açık Rıza |
: |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir. |
|
Anonim Hale Getirme |
: |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
|
Çalışan |
: |
Destek İstihdam Hizmetleri Yönetim Sistemleri Eğitim ve Danışmanlık Ticaret Limited Şirketi çalışanlarıdır. |
|
Elektronik Ortam |
: |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır. |
|
Elektronik Olmayan Ortam |
: |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlardır. |
|
Hizmet Sağlayıcı |
: |
FAVEO ile belirli bir sözleşme ilişkisi çerçevesinde bulunarak FAVEO’ya hizmet sağlayan gerçek veya tüzel kişiyi ifade eder. |
|
İlgili Kişi / Kişisel Veri Sahibi |
: |
Kişisel verisi işlenen gerçek kişilerdir.
Kişisel veri tanımından anlaşılabileceği üzere Kanun’un koruması ancak gerçek kişiye ilişkindir ve bu kişi “ilgili kişi” olarak tanımlanmaktadır. |
|
İlgili Kullanıcı |
: |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder. |
|
İmha |
: |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. |
|
Kanun |
: |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
|
Kayıt Ortamı |
: |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam anlamına gelir. |
|
Kişisel Veri |
: |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır. |
|
Kişisel Veri İşleme Envanteri |
: |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri işlemenin hukuki sebebini, veri kategorisini, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter anlamına gelir. |
|
Kişisel Verilerin İşlenmesi |
: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
|
Kişisel Verilerin Silinmesi |
|
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
|
Kişisel Verilerin Yok Edilmesi |
|
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
|
Kurul |
: |
Kişisel Verileri Koruma Kurulu. |
|
Kurum |
: |
Kişisel Verileri Koruma Kurumu. |
|
Özel Nitelikli Kişisel Veri |
: |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. |
|
Periyodik İmha |
: |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
|
Politika |
: |
Kişisel Verileri Saklama ve İmha Politikası |
|
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir. |
|
Veri Kayıt Sistemi |
: |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
|
Veri Sorumlusu |
: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. |
|
Veri Sorumluları Sicil Bilgi Sistemi / VERBİS |
: |
Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini ifade eder. |
|
Yönetmelik |
: |
28.10.2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir. |
2. SORUMLULUK ve GÖREV DAĞILIMLARI
Tüm FAVEO çalışanları ve çalışanların bağlı bulundukları departmanlar, kişisel verileri işleme faaliyetlerine ilişkin olarak işbu Politika kapsamında olup Politika doğrultusunda alınması öngörülen teknik, hukuki ve idari tedbirlerin gereği gibi uygulanması, veri koruma süreçlerine ilişkin eğitim ve farkındalık düzeylerinin arttırılması, periyodik olarak veya rastgele şekilde denetlenmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve kişisel verilere hukuka aykırı erişilmesinin önlenmesinden ve kişisel verilerin hukuka uygun saklanmasının sağlanmasından sorumludur.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır. Bu kapsamda kişisel verilerin saklanması ve imha edilmesi süreçlerinde görev alanların unvanları, departmanları ve görev tanımları aşağıdaki gibidir:
| Unvan
|
Departman |
Görev Tanımı |
|
Müdürler Kurulu Başkanı |
Yönetim Kurulu |
Çalışanların ve tüm birimlerin politikaya uygun hareket etmesinden, Politikanın yürütülmesinden, ilgili ortamlarda yayınlanması, güncellenmesi, idari tedbirlerin sağlanması ve uygulanmasından sorumludur. |
|
İrtibat Kişisi |
|
VERBİS kayıtlarının takibinden ve KVK Kurumu’yla ELEGANT arasında kurulacak iletişimden sorumludur. Ayrıca şirket içerisinde IT pozisyonu açılana kadar Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin ve tedbirlerin sağlanmasından ve uygulanmasından sorumludur. |
|
Muhasebe & Finans, Operasyon, Pazarlama ve Kurumsal İletişim, İnsan Kaynakları ve İdari İşler |
Diğer Birimler |
Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur. |
3. KAYIT ORTAMLARI
FAVEO tabi olduğu ticari ve hukuki düzenlemeler ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verileri aşağıda listelenen elektronik ve/veya elektronik olmayan ortamlarda tutmaktadır:
4. KİŞİSEL VERİLERİ SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
FAVEO tarafından çalışanlarına, çalışan adaylarına, müşterilere, hizmet sağlayıcılara, tedarikçilerine, iş ortaklarına, ziyaretçilere ve diğer üçüncü kişilere ait kişisel veriler Kanun ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak saklanmakta ve imha edilmektedir. Saklama ve imha süreçlerinin tamamında FAVEO tarafından tabi olunan hukuki düzenlemeler, ikincil mevzuat ve Kurum’un bağlayıcı görüş ve bildirimleri dikkate alınır.
FAVEO şirket politikası olarak işlediği dönem için en güncel kişisel verileri mümkün olan en kısa süre için saklamayı, saklanan veriler bakımından olabildiğince minimizasyonu amaçlamakta ise de veri sorumlusu olarak FAVEO veri işleme amaçları ve hukuki sebepleri çerçevesinde yasal yükümlülüklerini de göz önünde bulundurarak işlemiş olduğu kişisel verileri belirli sürelerde saklar. Ancak kamu menfaati ve istatistiki amaçlar ile başkaca sebepler için yapılmış olan daha uzun süreli arşivleme çalışmaları söz konusu olduğunda bu sebepleri açıkça açıklamak suretiyle mümkün olan teknik ve idari her türlü uygun tedbiri alır. Bu durumda olay özelinde alınacak diğer tedbirlere ilişkin bilgilendirme bir protokol ile yapılacak olup ek düzenlemeler içeren bu protokol işbu politikanın ayrılmaz bir parçası olarak değerlendirilecektir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir:
4.1. Saklamaya İlişkin Açıklamalar
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işleme faaliyetinin işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
4.1.1. Saklamayı Gerektiren Hukuki Sebepler
FAVEO faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilmektedir ve bu kapsamda kişisel veriler aşağıdaki hukuki sebeplere dayalı olarak saklanmaktadır:
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 sayılı İşçi Sağlığı ve İş Güvenliği Kanunu,
4857 sayılı İş Kanunu,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Yukarıda sayılı yasal düzenlemeler uyarınca yürürlükte olan diğer ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere diğer mevzuat hükümlerinde açıkça öngörülmesi,
FAVEO tarafından, taraf olduğu sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
FAVEO için hukuki yükümlülüğünü yerine getirebilmesi bakımından zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, FAVEO meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.1.2. Saklamayı Gerektiren İşleme Amaçları
Yukarıda detayı açıklanan FAVEO faaliyetleri çerçevesinde işlenen kişisel veriler aşağıda belirtilen amaçlarla sınırlı olarak işlenmektedir:
İnsan kaynakları süreçlerini yürütme,
Kurumsal iletişimi sağlama,
Sunulan ürün/hizmetlerden müşterileri ve potansiyel müşterileri haberdar etmek.
İşyeri ve taşınır güvenliğini sağlama,
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilme,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlama,
FAVEO ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlama,
Kanunen yükümlü olduğu iş ve işlemleri/uygulamaları yapma,
Olası hukuki uyuşmazlıklar için ispat yükümlülüğünü yerine getirme
Amaçları ile kişisel veriler işlenmekte ve işleme sırasında Kanun ile ikincil mevzuatı dikkate alınmaktadır.
4.2. İmhayı Gerektiren Sebepler
Kişisel veriler:
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
İşlenen verinin güncelliğini kaybetmesi, doğruluğunu yitirmesi,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanun’un 11.maddesi gereği, ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun FAVEO tarafından kabul edilmesi,
FAVEO tarafından ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvurunun reddedilmesi, ilgili kişinin verilen cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında FAVEO tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, FAVEO tarafından resen ve/veya ilgili kişinin FAVEO bünyesine yaptığı başvuru üzerine aşağıda belirtilen tekniklerle imha edilir.
4.3. Kişisel Verilerin İmha Yöntemleri
4.3.1. Kişisel Verilerin Silinmesi
FAVEO tarafından işlenen kişisel veriler aşağıda belirtilen şekilde silinmektedir:
|
Veri Kayıt Ortamı |
Açıklama
|
|
|
|
|
|
|
|
Fiziksel ortamda tutulan ve saklama süresi sona eren kişisel veriler çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/ boyanarak/silinerek karartma işlemi de uygulanır.
|
|
*** FAVEO yukarıda belirtilen silme yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni silme yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği silme yöntemlerini kullanabilir. |
|
4.3.2. Kişisel Verilerin Yok Edilmesi
FAVEO tarafından işlenen kişisel veriler aşağıda belirtilen şekilde yok edilmektedir:
|
Veri Kayıt Ortamı |
Açıklama
|
|
Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz ve yeniden okunabilir hale gelmesi engellenecek biçimde bozulması sağlanır.
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.
|
|
|
|
|
|
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde (sheddar) geri döndürülemeyecek şekilde yok edilir.
|
|
*** FAVEO yukarıda belirtilen imha yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni imha yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği imha yöntemlerini kullanabilir. |
|
4.3.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kağıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
FAVEO aşağıda belirtilen anonimleştirme yöntemlerinden bir ya da birkaçını kullanabilir ve bu anonimleştirme yöntemlerini kullanırken K – Anonimlik [UN2] (K – Anonymity), L – Çeşitlilik (L – Diversity) [UN3] ve T – Yakınlık [UN4] (T – Closeness) , Çoğaltma (Data Populating) istatistik yöntemlerine başvurabilir:
|
Alt ve Üst Sınır Kodlama/ Global Kodlama |
: |
Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir.
Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir.
Aynı kategori içinde kalan değerler birleştirilir.
|
|
Bölgesel Gizleme |
: |
Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
|
|
Değişkenleri Çıkarma |
: |
İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.
|
|
Genelleştirme |
: |
Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
|
|
Mikro Birleştirme |
: |
Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır.
Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir.
Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.
|
|
Veri Karma ve Bozma |
: |
Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.
|
5. SAKLAMA ve İMHA SÜRELERİ ve YÖNTEMİ
Kanun ve/veya ilgili mevzuat ile ikincil düzenlemelerinde daha uzun bir süre düzenlenmiş olması ya da Saklamayı Gerektiren Hukuki Sebepler uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri ve benzeri için daha uzun bir süre öngörülmüş olması hali saklı kalmak kaydıyla FAVEO tarafından işlenen kişisel veriler bu politikanın ekinde yer alan Saklama ve İmha Tablosunda belirtilen yöntemlerle ve sürelerle saklanmakta ve saklama sürelerinin sonunda belirtilen yöntemlerle (Sayılan imha yöntemleri ile sınırlı kalmamak kaydıyla FAVEO’nun farklı imha yöntemleri kullanma hakkı saklıdır.) imha edilmektedir. (Bkz. EK- Saklama ve İmha Tablosu)
6. PERİYODİK İMHA SÜRESİ
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında FAVEO, Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Periyodik imha süreçleri her 6 (altı) ayda 1 (bir) olmak üzere her yıl Temmuz ve Ocak aylarında tekrar eder.
7. TEKNİK ve İDARİ TEDBİRLER
Kanun uyarınca kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı işlenmesinin ve/veya bu kişisel verilere hukuka aykırı erişilmesinin önlenmesi ayrıca Saklama ve İmha Süreçlerinin gerekliliği ilan edilen teknik ve idari tedbirlerin yapılandırılmış, güncellenmiş, efektif ve hesap verebilir bir şekilde FAVEO tarafından alınması esastır.
7.1. Teknik Tedbirler
FAVEO tarafından işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Sızma (Penetrasyon) testleri ile FAVEO bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
FAVEO bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
FAVEO içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
FAVEO silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli teknik tedbirleri almaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurul’a bildirmek için FAVEO tarafından buna uygun bir sistem ve altyapı oluşturulmuş, bu bildirimlere ilişkin FAVEO bünyesindeki sorumlu kişiler belirlenmiştir.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması / yaptırılması, test sonuçlarının kayıt altına alınması,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve / veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.
Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
7.2. İdari Tedbirler
FAVEO tarafında işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Çalışanların konuya ilişkin farkındalığını artırmaya ve mesleki gelişimine katkıda bulunmaya, teknik bilgi becerilerini artırmaya yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka uygun şekilde muhafazasının sağlanması hakkında eğitimler verilmektedir.
FAVEO tarafından yürütülen faaliyetlere ilişkin çalışanlara, iş tanımı, tecrübesi, konuya ilişkin yetkinliği ve yönetim ve yönetişimdeki etkinliği dikkate alınarak hazırlanmış caydırıcı cezai yaptırımlar içeren gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce FAVEO tarafından, ilgili kişileri aydınlatma yükümlülüğü Kanun’un aradığı şartlara uygun şekilde yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
8. YAYIN ve SAKLAMA
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da Bilgi İşlem Departmanı dosyasında saklanır.
9. GÜNCELLEME PERİYODU
Politika ihtiyaç duyuldukça ve herhalde her 6 (altı) ayda 1 (bir) olmak üzere her yıl Temmuz ve Ocak aylarında gözden geçirilerek gerekli olan bölümler güncellenir.
10. YÜRÜRLÜK
Politika, [.2021] tarihinde yürürlüğe girmiş kabul edilir ve yürürlükten kaldırılmasına veya değiştirilmesine karar verilmesi halinde Müdürler Kurulu Kararı ile iptal edilerek (kırmızı renkli iptal kaşesi vurularak veya iptal yazılarak) yeni hali imzalanır ve internet sitesinde yayınlanır. Yeni hali Müdürler Kurulu Kararı üzerine internet sitesinde yayınlanmak üzere yürürlüğe girer.
Destek İstihdam Hizmetleri Yönetim Sistemleri Eğitim ve Danışmanlık
Ticaret Limited Şirketi
Barış Gül
[UN1] – Kullanılan diğer ortamlar var ise bunların belirlenmesi, burada belirtilen ve ancak kullanılmayan bir ortam var ise buradan çıkarılması gerekmektedir.
[UN2] – Anonim hale getirilmiş veri kümelerinde, dolaylı tanımlayıcıların doğru kombinasyonlarla bir araya gelmesi halinde kayıtlardaki kişilerin kimliklerinin saptanabilir olması veya belirli bir kişiye dair bilgilerin rahatlıkla tahmin edilebilir duruma gelmesi anonim hale getirme süreçlerine dair olan güveni sarsmış ve buna istinaden çeşitli istatistiksel yöntemlerle anonim hale getirilmiş veri kümelerinin daha güvenilir duruma getirilmesi gerekmiştir.
[K – Anonimlik] – Bir veri kümesindeki belirli alanlarla, birden fazla kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engellemek için geliştirilmiştir. Bir veri kümesindeki değişkenlerden bazılarının bir araya getirilerek oluşturulan kombinasyonlara ait birden fazla kayıt bulunması halinde, bu kombinasyona denk gelen kişilerin kimliklerinin saptanabilmesi olasılığı azalmaktadır.
[UN3] – Anonimliğin eksikleri üzerinden yürütülen çalışmalar ile oluşan L – Çeşitlilik yöntemi aynı değişken kombinasyonlarına denk gelen hassas değişkenlerin oluşturduğu çeşitliliği dikkate almaktadır.
[UN4] – Çeşitlilik yöntemi kişisel verilerde çeşitlilik sağlıyor olmasına rağmen, söz konusu yöntem kişisel verilerin içeriğiyle ve hassasiyet derecesiyle ilgilenmediği için yeterli korumayı sağlayamadığı durumlar oluşmaktadır. Bu haliyle kişisel verilerin, değerlerin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayrılarak anonim hale getirilmesi sürecine T – Yakınlık yöntemi denmektedir.
