Kişisel Verileri Saklama ve İmha Politikası

KİŞİSEL VERİLERİ İMHA VE SAKLAMA POLİTİKASI

  1. Amaç

Fenix İnsan Kaynakları Eğitim ve Danışmanlık Limited Şirketi (“Şirket”) tarafından hukuka uygun olarak yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veriler, veri envanterinde belirlenen amacın ortadan kalkması ve azami saklama süresinin sonra ermesinin sonucunda imha edilecektir. Kişisel veriler, mevzuat hükümleri uyarınca silme, yok etme veya anonim hale getirme işlemlerinden biri veya birkaçı ile imha edilebilecektir. İşbu “Kişisel Verileri Saklama ve İmha Politikası” (“Politika”) ile kişisel verileri Şirketimiz tarafından işlenen kişiler bilgilendirilerek şeffaflık sağlanacak; işlenmiş olan kişisel verilerin saklanması için geçerli sebeplerin varlığı düzenli olarak kontrol edilecek ve geçerli sebebin ortadan kalkmasıyla kişisel veriler imha edilecektir.

  1. Kapsam

İşbu Politika, Şirketimiz tarafından kişisel verileri işlenen tüm departmanlarını, çalışanlarını, ziyaretçileri ve 3. kişileri (müşteri, ziyaretçi, kurye vs.) kapsamaktadır. İşbu Politika; Şirketimiz tarafından kişisel veriler üzerinde uygulanacak tüm imha faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda uygulanacaktır. Konuyla alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Şirketimiz politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.

  1. Tanımlar

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Anonim hale getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

Başvuru formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içerecek, politika kapsamında yukarıda bağlantı sağlanan başvurunun yöntemini açıklayan “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”.

Çalışan adayı: Şirketimize herhangi bir yolla iş veya staj başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişiler

Doğrudan tanımlayıcılar: Tek başlarına ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar

Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek ve tüzel kişiler

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

İnternet Sitesi: …. alan adlı internet sitesini ifade eder.

İşbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler

İş ortağı: Şirketimizin faaliyetlerini yürütürken iş ortaklığı kurduğu taraflar

Kanun (KVKK): 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

Karartma: Kişisel verilerin bütünlüğünün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detayladıkları envanter

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.

Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişi.

Kişisel Veri Saklama ve İmha Politikası: Veri sorumlusunun kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılan politika

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin silinmesi, boyanması ve yıldızlanması gibi işlemler

Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicili

Şirket: Fenix İnsan Kaynakları Eğitim ve Danışmanlık Limited Şirketi

Şirket yetkilisi: Şirket Yönetim Kurulu ile diğer yetkili gerçek kişiler

Tedarikçi: Şirketimizin faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize hizmet sunan taraflar

Türk Ceza Kanunu: 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.  

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak, onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri ifade eder.

Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’i ifade eder

Ziyaretçi: Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan, etkinliklerimize katılan veya internet sitelerimizi ziyaret eden gerçek kişiler

 

  1. Kayıt Ortamı

Veri sahiplerine ait kişisel veriler, Şirketimiz tarafından aşağıdaki tabloda listelenen ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlarda, başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

 

  1. a) Şirket adına kullanılan bilgisayarlar/sunucular
  2. b) Ağ cihazları,
  3. c) Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri
  4. d) Bulut sistemleri,
  5. e) Mobil telefonlar ve içerisindeki tüm saklama alanları,
  6. f) Kağıt,
  7. g) Mikrofiş,
  8. h) Yazıcı, Parmak izi okuyucu gibi çevre birimler,
  9. i) Manyetik bantlar,
  10. j) Optik diskler,
  11. k) Flash hafızalar.
  12. l) Birim Dolapları
  13. m) Arşiv

 

  1. Kişisel Verilerin Saklanmasını ve İmhasını Gerektiren Sebepler

Şirketimiz tarafından ticari faaliyetlerin sürdürülebilmesi, çalışanların haklarının tesis edilebilmesi ve hukuki yükümlülüklerin yerine getirilebilmesi amacıyla işlenmekte olan kişisel veriler, ilgili mevzuat hükümlerine uygun olarak güvenli bir ortamda saklanmaktadır. İşbu Politika ile hukuka aykırı olarak işlenen kişisel veriler ile veri işleme şartlarının ortadan kalkması sonucunda önceden işlenmiş olan kişisel veriler imha edilecektir.

Şirketimiz, veri sahiplerinin kişisel verilerini açık rıza olmadıkça saklamaz. Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesi hususundaki istisnalar saklıdır. Buna bağlı olarak kişisel verilerin saklanmasını gerektiren sebepler aşağıda belirtilmiştir:

  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması sebebiyle saklanması
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla veya Şirketimizin hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması
  • Kişisel verilerin Şirketimizin meşru menfaatleri doğrultusunda saklanması

Şirketimiz veri işlenme şartlarının güncelliğinden sorumlu olmakla beraber, veri işlenme şartlarının ortadan kalkmasının akabinde Şirketimiz bünyesinde veri işlenmeye devam edilmez. İşbu Politika uyarınca veri işlenme şartlarının ortadan kalktığı haller aşağıda belirtilmiş olup, Şirketimiz tarafından resen veya talep üzerine silinir, yok edilir veya anonim hale getirilir:

  • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değişikliği veya yürürlükten kalkması
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması
  • Kanunun 5. Ve 6. Maddelerinde belirlenen kişisel verilerin işlenme şartlarının ortadan kalkması
  • Kişisel verilerin işlenmesi için açık rızanın gerekli olduğu hallerde, ilgili kişi tarafından açık rızanın geri alınması
  • İlgili kişinin Kanunun 11. maddesinin (e) ve (f) bentlerinde belirlenen hakları çerçevesinde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik yaptığı başvurunun veri sorumlusu tarafından kabulü
  • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebiyle kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içerisinde cevap vermemesi hallerinde, Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uyun bulunması
  • Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
  • Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi

 

  1. Teknik ve İdari Tedbirler

Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve hukuka aykırı olarak erişilmesinin önlenmesi için gerekli her türlü teknik ve idari tedbiri alacağını kabul ve taahhüt eder.

  •      Kişisel verilerin saklanmasına yönelik alınan tedbirler
  1. Teknik Tedbirler;
  • Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için gerekli teknik alt yapılar ve denetim mekanizması oluşturmak
  • Kişisel verilerin güvenli şekilde saklanması için gerekli teknik tedbirleri almak
  • Teknik uzman kişiler istihdam ederek bu konuda uzman kadro oluşturmak
  • Oluşabilecek risklere karşı iş sürekliliği ve acil durum planları oluşturarak bunların uygulanmasına ilişkin sistemler geliştirmek
  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapmak
  • Kişisel verilerin saklama alanlarına yönelik teknolojik gelişmeler uyarınca güvenlik sistemleri oluşturmak
  • Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamın, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli ya da kriptografik yöntemler ile korunmasını sağlama
  1. İdari Tedbirler;
  • Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmak
  • Kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelerde kişisel verilerin korunmasına ve güvenlik tedbirlerine yönelik hükümlere yer vermek

 

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için alınan tedbirler
  • Şirket bünyesinde gerekli denetimleri yaptırmak
  • Kişisel verilerin hukuka uygun olarak işlenmesi hakkında Şirket içi eğitimler vermek
  • Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle işbirliği yapıldığı hallerde kişisel verileri işleyen şirketler ile yapılan sözleşmelerde; kişisel verileri işleyen kişilerin gerekli güvenlik tedbirlerinin almasına ilişkin hükümlere yer vermek,
  • Kişisel verilerin hukuka aykırı olarak işlenmesi durumunda, derhal Kurul’a haber verilerek mevzuat tarafından öngörülen incelemeleri yaptırmak ve tedbirler almak
  • Veri sızıntısı olması halinde derhal Kurul’a haber verilerek mevzuat tarafından öngörülen incelemeleri yaptırmak ve tedbirler almak

 

  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek için alınan tedbirler
  1. Teknik Tedbirler;
  • Teknik uzman kişiler istihdam ederek bu konuda uzman kadro oluşturmak
  • Teknik tedbirleri periyodik olarak güncellemek ve daha iyi bir koruma sağlamak adına yenilemek
  • Kişisel verilere hukuka aykırı erişimi engellemeyi sağlamak üzere teknolojik gelişmeler dahilinde güvenlik sistemleri oluşturmak
  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapmak
  • Oluşabilecek risklere karşı acil yardım planları oluşturarak bunların uygulanmasına ilişkin sistemler geliştirmek
  • Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlamak
  1. İdari Tedbirler;
  • Erişim yetkilendirme prosedürü oluşturmak
  • Saklanan kişisel verilere Şirket içi erişimi, iş tanımı gereği erişmesi gerekli personel ile sınırlandırmak
  • Alınan teknik tedbirlere ve denetim süreçlerinin raporlanmasına yönelik prosedür oluşturmak
  • Şirket bünyesinde kullanılmakta olan veri kayıt sistemlerini mevzuata uygun şekilde oluşturmak ve periyodik olarak denetimlerini yapmak
  • Kişisel verilere erişim ve yetkilendirme hususlarında çalışanlarımızı bilgilendirmek ve eğitimler vermek
  • Kişisel verilerin işlenmesi, saklanması gibi faaliyetler amacıyla üçüncü kişilerle işbirliği yapılması durumunda, kişisel verilere erişim sağlayan şirketler ile yapılan sözleşmelerde; kişisel verilere erişim sağlayan kişilerin gerekli güvenlik tedbirlerin almasına ilişkin hükümlere yer vermek
  • Kişisel verilerin hukuka uygun olarak imha edilmesi için alınan tedbirler
  1. Teknik Tedbirler;
  • Teknik uzman kişiler istihdam ederek bu konuda uzman kadro oluşturmak
  • Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesini sağlamak
  • Doğru veri sahibinin kişisel verilerini imha edecek alt yapı oluşturmak
  1. İdari Tedbirler;
  • Veri Saklama ve İmha Prosedürü oluşturmak ve periyodik olarak güncellemek
  • İşbu Prosedür uyarınca veri saklama şartlarının ortadan kalkması ile birlikte verilerin imha edilmesini sağlamak için gerekli denetimi yapmak
  • Veri sahibi kişilerce talep edilmesi durumunda kişisel verilerin imhasını sağlamak için gerekli denetimi yapmak
  • Kişisel verilerin imhası amacıyla üçüncü kişilerle işbirliği yapılması durumunda, kişisel verilere erişim sağlayan şirketler ile yapılan sözleşmelerde; kişisel verilere erişim sağlayarak imha eden kişilerin gerekli güvenlik tedbirlerin almasına ilişkin hükümlere yer vermek
  1. Kişisel Verileri Saklama ve İmha Sürecinde Yer Alacak Personel

İşbu Politika uyarınca, kişiler verileri saklama ve imha süreçlerinde yer alacak Şirket personellerin unvanları, birimleri ve görev tanımı Ek1’de yer alan listede tanımlanır. Saklama ve imha sürecinde yer alacak personelin görevinden ayrılması, biriminde veya görev tanımında değişiklik olması ya da yeni bir personelin görevlendirilmesi durumlarında Ek1’de yer alan liste derhal güncellenir.

 

  1. Kişisel Verilerin İmha Yöntemleri

 

Şirketimiz tarafında elde edilen kişisel veriler, veri işleme amaçlarının ortadan kalkması halinde veya veri sahibinin açık rızasını geri alması halinde, ilgili kişinin başvuru üzerine ya da resen mevzuat hükümlerine uygun olarak imha edilecektir.

Kişisel verilerin imhası sırasında kullanılabilecek tüm yöntemler işbu Politikada tanımlanarak teknolojik gelişmeler uyarınca yeni yöntemlerin ortaya çıkması halinde işbu Politikaya eklenecektir. Kişisel verilerin imhası sırasında, Şirket çalışanları bu maddede belirtilen yöntemlerden en uygununu seçerek imhayı gerçekleştirmekle yükümlüdür.

 

  •            Kişisel verilerin silinmesine dair yöntemler

 

  1. Bulut ortamındaki kişisel verilerin silinmesi: Bulut sistemindeki verilerin silme komutu verilerek silinmesidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi yoktur.
  2. Kağıt ortamında bulunan kişisel verilerin karartma yöntemi ile silinmesi: İlgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesidir. Kağıt ortamında bulunan kişisel veriler karartma yöntemi ile silinmesidir.
  3. Merkezi sunucuda yer alan ofis dosyalarının silme komutu ile silinmesi: Merkezi sunucuda bulunan dosyanın işletim sistemindeki silme komutu ile silinmesi yöntemidir.
  4. Merkezi sunucuda yer alan ofis dosyalarına erişim hakkının kaldırılması: Merkezi sunucuda bulunan dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması yöntemiyle kişisel verilerin silinmesidir.
  5. Taşınabilir medyada bulunan kişisel verilerin silinmesi: Flash tabanlı saklama ortamlarındaki kişisel verilerin şifreli olarak saklanması ve bu ortamlara uygun yazılımlar kullanılarak silinmesidir.
  6. Veri tabanlarında yer alan kişisel verilerin silinmesi: Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinmesidir. İlgili kullanıcı aynı zamanda veri tabanı yöneticisi ise, bu yöntem kullanılarak kişisel veriler silinemez.

 

  • Kişisel verileri yok edilmesine dair yöntemler

 

  1. De-manyetize etme: Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
  2. Fiziksel yok etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
  3. Üzerine yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.
  4. Ağ cihazları (switch, router vb.): Ağ cihazlarının içindeki saklama ortamları sabit olup, ürünlerin çoğu zaman yok etme özelliği bulunmamaktadır. Bu sebeple, de-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden bir ya da birkaçı kullanılarak yok edilir.
  5. Flash tabanlı ortamda bulunan kişisel verilerin yok edilmesi: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa “block erase” komutunu kullanarak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanarak ya da de-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden bir ya da birkaçı kullanılarak yok edilir.
  6. Manyetik bant: Kişisel verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
  7. Manyetik disk gibi üniteler: Kişisel verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
  8. Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında yok etme komutu bulunmamaktadır. Bu sebeple de-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden bir ya da birkaçı kullanılarak yok edilir.
  9. Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
  10. Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre de-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden bir ya da birkaçı kullanılarak yok edilir.
  11. Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Söz konusu sistemlerin yok etme komutu bulunmamaktadır. Bu sebeple de-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden bir ya da birkaçı kullanılarak yok edilir.
  12. Kağıt ve mikrofiş ortamında saklanan kişisel verilerin yok edilmesi: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir. Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama de-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden bir ya da birkaçı kullanılarak yok edilmesi gerekir.
  13. Bulut ortamında saklanan kişisel verilerin yok edilmesi: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.
  14. Arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi: İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel ortama de-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden bir ya da birkaçı kullanılarak yok edilmesi gerekir. Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi gereklidir, Ayrıca dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması zorunludur.

 

  • Kişisel verilerin anonim hale getirilmesine dair yöntemler
  1. Değişkenleri çıkartma: Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır.
  2. Kayıtları çıkartma: Veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılarak anonimliğin kuvvetlendirilmesi ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülmesi yöntemidir.
  3. Bölgesel gizleme: Belli bir kayda ait değerlerin yarattığı kombinasyonun çok az görülebilir bir durumu yaratması sonucunda, bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecek nitelikteyse, istisnai durumu yaratan değerin “bilinmiyor” olarak değiştirilmesi gerekmektedir. Bu işleme bölgesel gizleme yöntemiyle anonim hale getirme denir.
  4. Genelleştirme: İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir.
  5. Alt ve üst sınır kodlama: Belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek verilerin anonim hale getirilmesi yöntemidir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanarak bu değerlere yeni bir tanımlama yapılır.
  6. Global kodlama: Alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.
  7. Örnekleme: Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanması veya paylaşılması yöntemidir. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülerek anonimlik sağlanır.
  8. Mikro birleştirme: Veri kümesindeki bütün kayıtlar anlamlı bir sıraya göre dizilerek sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu şekilde anonimliğin saplanmasına mikro birleştirme yöntemi denir.
  9. Veri değiş tokuşu: Kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir.
  10. Gürültü ekleme: Çoğunlukla sayısal değer içeren veri kümelerinde, seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılmasıdır.

 

  1. Saklama ve İmha Süreleri

 

Kişisel veriler, mevzuatta öngörülen saklama süreleri saklı kaymak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca Şirketimiz bünyesinde gerekli güvenlik tedbirleri alınarak saklanır. Şirketimiz, saklama ve imha sürelerini dolduran kişisel verileri periyodik olarak imha eder. Saklama ve imha süreleri, Veri Envanterine esas alınarak belirlenir (Ek 2). Kişisel verilerin saklanması için mevzuatta süre öngörülen hallerde, kişisel veriler bu süreye riayet edilerek imha edilir.

 

Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, Kanunun 4. maddesinde belirlenen ilkelere aykırılık teşkil edebilecek olan kişisel veriler silinir, yok edilir veya anonim hale getirilir.

 

Şirketimiz tarafından; kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veya anonim hale getirilir.

 

Periyodik imha, tüm kişisel veriler için Kişisel Veri Envanteri’ne uygun olarak 6 aylık zaman aralıklarında gerçekleştirilir.

 

  1. Politikada Yapılacak Değişiklikler ve Yürürlülük Tarihi

 

Şirketimiz tarafından, mevzuatta yapılacak değişiklikler ve Kurul kararları dikkate alınarak işbu Politikada değişiklikler yapılabilir.

 

İşbu Politika, …/…/…… tarihinden itibaren yürürlüğe girmiştir.

 

 

 

 

 

 

 

 

 

 

 

 

Ek 2

 

Veri sahibi profili

Verilerin saklanma süresi

Çalışan adayı (iş başvurusu reddedilen ancak cvsinin saklanmasına açık rıza veren

2 yıl

 

WhatsApp ile iletişime geç