1. AMAÇ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İstanbul Ağaç Peyzaj Eğitim Hizmetleri Hayvanat Bahçesi İşletmeciliği Sanayi Ve Ticaret Anonim Şirketi (“Şirketimiz” veya “AĞAÇ A.Ş.”), ticari faaliyetleri kapsamında işlemekte olduğu ilgili kişilere (örn. çalışanları, stajyerleri, çalışan ve stajyer adayları, şirket yetkilileri/temsilcileri, gerçek kişi yönetim kurulu üyeleri, gerçek kişi müşterileri, tüzel kişi ortağın temsilcisi, ziyaretçiler, gerçek kişi taşeron/dış hizmet sağlayıcılar, tüzel/gerçek kişi taşeron, dış hizmet sağlayıcıların çalışanları, yetkilileri, temsilcileri vb.) ait kişisel verilerin korunmasına hassasiyetle yaklaşmaktadır.
Bu nedenle Şirketimizin faaliyetleri kapsamında işlenen kişisel verilerin, Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin Türkiye’nin tarafı olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil düzenlemeleri ile Kişisel Verileri Koruma Kurulu kararları (“KVK mevzuatı”) ile 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere ilgili yasal düzenlemelere uygun olarak saklanmasına ve gerektiği şekilde ve sürede imha edilmesine dikkat etmekteyiz.
Bu sebeple, veri sorumlusu sıfatıyla yürütmekte olduğumuz iş süreçleri esnasında elde ettiğimiz tüm kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ve imhalarına ilişkin süre ve işlemleri işbu Kişisel Veri Saklama ve İmha Politikamıza (“Politika”) göre belirlemekte ve gerçekleştirmekteyiz.
Ayrıca, kişisel verilerin saklanması ve imhası sürecinde, bu verilerin hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbiri almaktayız. Şirket olarak, kişisel verilerin saklanması ve imhası süreçlerinde özel hayatın gizliliğinin korunmasına önem vermekte ve veri güvenliğini en üst seviyede gözetmekteyiz.
İşbu Politika, faaliyetlerimiz sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlediğimiz yöntemler hakkında açıklamalar içermektedir.
2. KAPSAM
İşbu Politika, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, iş bağlantılarımızın, müşterilerimizin, internet sitemiz veya sosyal ağlar yoluyla bizimle etkileşime geçen kullanıcılarımızın ve sair üçüncü kişiler dâhil gerçek kişilerin Şirket tarafından işlenmekte olan bütün kişisel verilerini kapsamaktadır.
Politika, Şirket tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda saklanmasına ve imhasına ilişkin olup KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.
3. TANIMLAR
Bu bölümde Politika’da geçen teknik ve hukuki kavramlar kısaca açıklanmaktadır. Buna göre;
3.1. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini,
3.2. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
3.3. İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel veriyi işleyen kişiyi,
3.4. Kanun: 7/4/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
3.5. Kişisel veri: Kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi,
3.1. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
3.2. Kişisel Veri İşleme Envanteri: Şirketimizim iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığımız envanteri,
3.3. Kişisel veri saklama ve imha politikası: Şirketimizin, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptığı işbu Politikayı,
3.4. Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesini,
3.5. Kişisel verilerin silinmesi: Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,
3.6. Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini,
3.7. Kurul: Kişisel Verileri Koruma Kurulu’nu,
3.8. Özel Nitelikli Kişisel Veri: : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
3.9. Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, ifade etmektedir
3.10. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Şirketimizi,
3.11. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
3.12. Yönetmelik: 28.10.2017 tarih ve 30224 sayılı Resmî Gazete’ de yayımlanarak yürürlüğe giren Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği,
3.13. Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri, ifade etmektedir.
4. KİŞİSEL VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI
Şirket olarak, bilgi ve iletişim teknolojileri sektöründeki faaliyetlerimizi yerine getirirken elde ettiğimiz kişisel verileri kanuni sürelere uygun olarak saklamak amacıyla;
Kayıt Ortamları
Elektronik Olmayan Ortamlar
Dijital/Elektronik Ortamlar
Kağıt,
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
ArşivYazılı, basılı, görsel ortamlar
Harici diskler,Uygulama otomasyonları,
Yazılımlar (ofis yazılımları, erp, dys, iş zekâsı, pdks vb.),
Kişisel bilgisayarlar (masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya
paylaşım, vb.)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve
engelleme, siem, antivirüs, antispam vb.)
kayıt ortamlarını kullanmaktayız.
5. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ VE TEKNİK NEDENLER
Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre boyunca saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız.
Kişisel verileri birden fazla amaç için işlediğimiz hallerde, verinin işlenme amaçlarının hepsinin ortadan kalkması veya verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda veriler silinir, yok edilir veya anonim hale getirilir.
5.1. Saklamayı Gerektiren Hukuki Sebepler
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
5393 sayılı Belediye Kanunu,
5216 sayılı Büyükşehir Belediyesi Kanunu
5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4857 sayılı İş Kanunu,
193 sayılı Gelir Vergisi Kanunu,
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun,
6102 sayılı Türk Ticaret Kanunu,
6502 sayılı Tüketicinin Korunması Hakkında Kanun,
3194 sayılı İmar Kanunu,
4735 sayılı Kamu İhale Kanunu
Mesafeli Sözleşmeler Yönetmeliği,
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
375 sayılı Kanun Hükmünde Kararname
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
5.2. Saklamayı Gerektiren İşleme Amaçları
Faaliyetlerimiz çerçevesinde işlemekte olduğumuz kişisel verileri, aşağıdaki amaçlar doğrultusunda saklamaktayız.
İnsan kaynakları süreçlerini yürütmek,
Kurumsal iletişimi sağlamak,
Şirket güvenliğini sağlamak,
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
İlgili mevzuattan doğan hukuki yükümlülükleri yerine getirmek,
Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
Pazarlama ve tanıtım faaliyetlerini yürütmek,
Talep ve şikayetleri yönetmek,
İşlem güvenliğini sağlamak,
Yasal raporlamalar yapmak,
Çağrı merkezi süreçlerini yönetmek,
Dava ve icra süreçlerini yürütmek ve ilgili dosyaları takip etmek ve
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
Kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında,
Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
6. KİŞİSEL VERİLERİN SAKLANMASI VE SAKLAMA SÜRELERİ TABLOSU İLE PERİYODİK İMHA SÜRELERİNE İLİŞKİN BİLGİLER
Kişisel verilerin, veri kategorisi, veri saklama ortamı, verilerin toplanmasına ilişkin mevzuat, saklama süresinin başlangıcı, sonu ve toplam saklanacak süre gibi unsurlar göz önünde bulundurularak saklanması gerekmektedir. Kişisel veri kategorilerine dair detaylı bilgiye sizler için hazırladığımız Kişisel Verilerin İşlenmesi ve Korunması Politikası’ndan ulaşabilirsiniz.
KVKK’da yer alan kişisel verileri işleme şartlarının ortadan kalkması veya bu faaliyetlerin son bulması, ilgili verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini gerektirmektedir. Bu sebeple, Yönetmelik’in 12. maddesine istinaden veri sorumlusunun kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, işleme şartları ortadan kalkan kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü bulunmaktadır. Şirket olarak, tüm kişisel verilerinize dair periyodik imha işlemini 6 aylık zaman aralıklarında (Her yılın 1. ve 7. ayının sonunda) gerçekleştirmekteyiz.
Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin bulunduğu tutanaklar diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süre ile saklanır.
Saklanan Kişisel Veriler
Saklama Süresi
İmha Süresi
İmza sirküleri
Sözleşme süresi boyunca ve sözleşmenin sona ermesinden itibaren 10 yıl
Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir.
Vekaletname Çıkarılması
İzin Süreçleri
İş sözleşmesi süresi boyunca ve iş sözleşmesinin sona ermesinden itibaren 15 yıl
Araç Kiralama ve Bakım/ Tamirat/Tadilat Süreçleri
Mal/Hizmet Satın Alma Süreçleri
Müşteriler ile Temasa Geçilip Teklif Gönderilip Satış Yapılması ve Satış Sonrası Süreçlerin Yürütülmesi
Ödenek Takip Süreci
Yönetim Kurulu Süreçleri
Şirketin tasfiyesinden itibaren 10 yıl
Hakediş İşlemleri
İş sözleşmesi süresi boyunca ve iş sözleşmesinin sona ermesinden itibaren 10 yıl
Bordro İşlemleri Süreci
Fatura Ödeme Süreci
Düzenlendikleri yılı takip eden takvim yılından itibaren 10 yıl
Cari Hesap Açılış Süreci
Teminat Mektubu Süreçleri
Çalışanların BES Kayıtlarının Yapılması Süreci
Jandarma ve Kolluk Bildirimleri Süreci
Eğitim Düzenlenmesi Süreçleri
Çalışanın iş sözleşmesinin devam ettiği süre boyunca
Eğitim Sürecinde Görsel ve İşitsel Kayıt Alınması Süreci
İlgili organizasyonun sona ermesinden itibaren 2 yıl
Çağrı Merkezine Giden Talep ve Şikayetlerin Karşılanması Süreçleri
6563 sayılı Kanun uyarınca 3 Yıl
Disiplin Süreçleri
Hukuki Süreçler
Söz konusu uyuşmazlığın kesinleşmiş bir yargı kararı ile sona ermesi veya zamanaşımına uğramasının ardından 10 yıl
Çalışanlar ile Şirket Haberlerine İlişkin Sms/E- Posta Paylaşımı Süreci
İş sözleşmesi ve ilgili hizmet sözleşmesi süresi boyunca ve iş sözleşmesi ve ilgili hizmet sözleşmesinin sona ermesinden itibaren 10 yıl
Sosyal Medya Yönetim Süreci
Kurumsal İletişim Süreci
İlgili hizmet sözleşmesi süresi boyunca ve ilgili hizmet sözleşmesinin sona ermesinden itibaren 10 yıl
Vatandaşlara Yönelik Botanik Kurs ve Çalıştaylarının Organizasyon Süreci
Müşteri Memnuniyetine Yönelik Anket Süreçleri
Anket süreci sonlanıncaya kadar
Nöbet Listesinin Oluşturulması
Mezarlık Bakım Süreci
Puantaj İşlemleri Süreci
Taşeron Çalışanlarının İş Süreçleri
Taşeron İş Sağlığı ve Güvenliği Süreçleri
İş sözleşmesi süresi boyunca ve sözleşmenin sona ermesinden itibaren 15 yıl
Zimmet Süreci
İşyeri Güvenlik Kameraları Takibi Süreci -CCTV
İşleme süresi boyunca ve son işlemeden itibaren 2 yıl
Personel İşe Giriş -Çıkış İşlemleri Süreci
Personel Ücret, Masraf ve Avans İşlemleri Süreci
Personele Çalışma Belgesi Temini
İşe Yeni Girişlerde Personelin Sağlık Evraklarının Kontrolü ve Periyodik Muayene Süreci
Serbest Zaman Formları Süreci
Özlük Yönetimi Süreci
Performans Değerlendirme Süreci
Çalışan Memnuniyetine Yönelik Anket Yapılması
Acil Durum Yönetimi Süreci
AR-GE Birimi Tarafından Müşteri Taleplerinin Karşılanması Süreci
Özel Günlere İlişkin Şirket İçi Duyuru Süreci
Çalışanın çalıştığı süreç içerisinde açık rızasının geçerli olduğu süre boyunca
İş Seyahatleri Süreci
AGİ Süreçlerinin Yönetilmesi
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takip Sistemleri
2 yıl
Wi-Fi Hizmetleri
Yemek Hizmeti Temini Süreci
Temizlik Hizmeti Temini Süreci
Şirket Mobil Hat Açılması ve Kapatılması Süreci
Servis Hizmetleri Süreci
Sipariş Teklif Formu Süreci
İştirakler Raporu Süreci
Satınalma Dosyası Hazırlama Süreci
Gerekmesi halinde, söz konusu saklama süreleri üzerinde, ilgililer tarafından güncellemeler yapılır.
7. KİŞİSEL VERİLERİN İMHA EDİLMESİNE YÖNELİK YÖNTEMLER VE TEDBİRLER
7.1. Kişisel Verilerin Silinmesine Dair Yöntemler
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. Şirket olarak, kişisel verilerin hukuka uygun olarak silinmesi işlemini gerçekleştirebilmek amacıyla tarafımızca kullanılan ve Kişisel Verileri Koruma Kurumu’nun yayınlarında da belirtilen tekniklerden bazıları şu şekildedir:
7.1.1. Basılı Ortamda Tutulan Verilere Yönelik Yöntemler
Kâğıt üzerinde bulunan kişisel veriler karartma (maskeleme) yöntemi kullanılarak, veya
Belgenin ilgili kullanıcıların erişemeyeceği bir ortamda güvenli olarak saklanması sureti ile silinmektedir.
7.1.2. Elektronik Ortamda Tutulan Verilere Yönelik Yöntemler
Kişisel veriler, saklandıkları kayıt ortamlarına göre, aşağıda yer alan yöntemlerle silinmektedir:
Verinin Saklandığı Ortam
Silme Yöntemi
Veri tabanları
Kişisel veri içeren satırlar veri tabanı komutları ile (DELETE vb.) silinmektedir.
İlgili kullanıcının, rol ve izin ataması yapılarak veri tabanına erişimi engellenmektedir.
Merkezi Sunucu
İşletim sistemindeki silme komutu ile kişisel veri içeren dosyalar silinmektedir.
İlgili kullanıcının, kişisel veri içeren dosyanın bulunduğu dizin üzerindeki erişim hakları kaldırılmaktadır.
Taşınabilir cihazlar (USB, Hard disk, CD, DVD vb.)
Kişisel verilerin bulunduğu dosyalar şifreli olarak saklanmakta ve ilgili kullanıcın dosyaya erişimi engellenmektedir.
Kişisel verilerin bulunduğu dosyalar uygun yazılımlar kullanılarak silinmektedir.
7.2. Kişisel Verilerin Yok Edilmesine Dair Yöntemler
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket olarak, kişisel verilerin hukuka uygun olarak yok edilmesini gerçekleştirebilmek amacıyla tarafımızca kullanılan ve Kişisel Verileri Koruma Kurumu’nun yayınlarında da belirtilen tekniklerden bazıları şu şekildedir:
7.2.1.Basılı Ortamda Tutulan Verilere Yönelik Yöntemler
Kişisel veri içeren belgeler;
Kâğıt kesme makinesi ile öğütme ve
Yakma
gibi yöntemler ile yok edilmektedir.
7.2.2. Elektronik Ortamda Tutulan Verilere Yönelik Yöntemler
Kişisel veriler, bulunduğu sistemlerin türüne göre, aşağıda yer alan yöntemlerden bir veya birkaçı kullanılarak yok edilmektedir:
Yok Etme Yöntemi
Sunucu Ortamları
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmesi ve kullanılan şifre anahtarlarının yok edilmesi gerekmektedir.
Çevresel Sistemler (Ağ cihazları,
flash tabanlı ortamlar, optik sistemler, sim kart ve sabit hafıza alanları vs.) ve Yerel Sistemler
De-manyetize etme yöntemi ile aygıtın üzerindeki
veriler okunamaz hale getirilmektedir.
Kişisel veri içeren cihazlar; yakma, küçük parçalara ayırma, eritme gibi fiziksel işlemlerle yok edilmektedir.
Özel yazılımlar ile var olan verilerin üzerine rastgele veri girişi yapılması sonucu eski verilerin kurtarılmasının önüne geçilmektedir.
7.3. Kişisel Verilerin Anonim Hale Getirilmesine Yönelik Yöntemler
Şirket olarak, saklama süresi sona eren kişisel verileri anonim hale getirmekte, veri ile ilgili kişi arasındaki bağı koparmakta ve bu sayede ilgili kişinin tespit edilmesini engellemekteyiz. Anonim hale getirme işlemleri kapsamında tarafımızca kullanılan ve Kişisel V erileri Koruma Kurumu’nun yayınlarında da belirtilen tekniklerden bazıları şu şekildedir:
7.3.1. Maskeleme
Bu yöntem, kişisel veri niteliğindeki bir bilginin, belirli alanlarının kaldırılarak veya değiştirilerek ilgili kişi ile bağının kesilmesini ifade eder. Şirket olarak, çeşitli internet sitelerinde bilgi ve iletişim teknolojileri sektöründe gerçekleştirdiğimiz faaliyetlerimize yönelik yaptığınız yorumları paylaşırken isim ve soy isim bilginizdeki bazı kısımları yıldızlamaktayız. (“**n* ****n: Değerli bir kurum! gibi)
7.3.2. Değişkenleri Çıkartma
Bu anonim hale getirme yönteminde değişkenlerden bir veya birkaçı bir sütun halinde tablodan çıkartılmakta ve bu sayede ilgili kişinin tespit edilebilmesi güçleştirilmektedir. Bu yöntem değişkenin kamuya ifşa edilmeyecek derecede hassas bir veri olması veya değişkenin yüksek dereceli bir tanımlayıcı olması durumlarında kullanılmaktadır.
7.3.3. Kayıtları Çıkartma
Bu yöntemde veri kümesinde yer alan ve tekillik teşkil eden bir satırın çıkartılması ile anonimlik kuvvetlendirilmektedir. Örneğin, bir anket çalışmasına katılmış olan ve cinsiyeti kadın olan tek bir kişi bulunmakta ise bu kişiye ait satır veri kümesinden çıkartılarak veri kümesine dair üretilebilecek varsayım ihtimali düşürülmektedir.
7.3.4. Rastgeleleştirme
Rastgeleleştirme, veri karması ve gürültü eklenmesi gibi, veri ile ilgili kişi arasındaki bağı tamamen kaldırmayan fakat verinin doğruluğunu azaltmak suretiyle zayıflatan birtakım yöntemleri kapsamaktadır.
7.3.4.1. Veri Karması
Bu yöntemde, belirli bir veri kümesindeki bazı bilgiler söz konusu küme üzerinde gerçekleştirilecek incelemeyi etkilemeyecek şekilde karıştırılmaktadır. Örneğin, çalışanların yaş ortalaması alınmak istenen bir departmanda, çalışanların yaşlarını gösteren değerlerin birbiriyle değiştirilmesi suretiyle veri karması yapılabilecektir.
7.3.4.2. Gürültü Eklenmesi
Bu yöntem ile veri kümesinde yer alan değer, ekleme veya çıkarma işlemi ile belirlenen ölçüde değiştirilmektedir. Örneğin, veri kümesinde yer alan her bir yaş değerine 5 eklenmesi sonucunda bu yaş değeri değiştirilmiş ve yeni değerler oluşturulmuştur.
7.4. Kişisel Verilerin Hukuka Uygun İmhası İçin Alınan Tedbirler
Şirket olarak, işlediğimiz kişisel verilerin imhasının hukuka uygun olarak gerçekleştirilmesine dikkat etmekte ve bu kapsamda birtakım teknik ve idari tedbirler almaktayız.
İşlediğimiz kişisel verilerin hukuka uygun imhası için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli önlemler almaktayız. Bu kapsamda;
Yok etme ve silme işlemlerinin video kayıt vb. sistemlerle kayıt altına alınmasını,
Oturum kaydı ve benzeri kayıtların tutulmasını,
Verilerin üzerine veri yazılarak silinmesi amacıyla kullanılan yazılımların güncel tutulmasını,
Çalışanlarımızın kişisel verilerin hukuka uygun imhası konusunda eğitilmesini ve bilgilendirilmesini,
Silinen kişisel verilere ilgili kullanıcı tarafından erişilmesinin ve tekrar kullanılmasının engellenmesini,
Yapılacak imha işlemleri sırasında yol gösterici olması amacıyla prosedür ve talimatların hazırlanmasını,
Veriye erişim sürecinde onay ve denetim mekanizmalarının benimsenmesini ve
Verilerin niteliği veya hacmi gerektirdiğinde, alanında uzman profesyonellerle çalışılmasını
sağlamaktayız.
8. KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAYA YÖNELİK TEKNİK VE İDARİ TEDBİRLER
Şirket olarak, kişisel verilerinizin güvenli bir şekilde saklanması, bu verilerin hukuka aykırı olarak işlenmesinin ve bu bilgilere hukuka aykırı olarak erişilmesinin önlenmesi için mevcut teknolojiler göz önüne alındığında gerekli olan her türlü idari ve teknik tedbirleri almaktayız.
8.1. Kişisel Verilerin Güvenliğine Yönelik Teknik Tedbirler
Kişisel verilerin güvenliğinin sağlanması için, aşağıda sayılanlarla sınırlı olmamak üzere çeşitli önlemler almaktayız. Bu kapsamda;
Şirket’e ait cihazlarda kullanılmakta olan anti virüs programlarının güncel olmasını,
Şirket cihazlarında yüklü işletim sistemlerinin güncellemelerinin ve yamalarının zamanında yapılmasını,
Kullanılmayan yazılım ve servislerin silinmesini,
Kişisel verilerin bulunduğu ortamların yedeklerinin alınmasını ve alınan bu yedeklerin doğruluğunun ve bozulmadığının kontrol edilmesini,
Veri kaybını/sızıntısını önleyen yazılımların kullanılmasını,
Uygunsuz ve lisanssız yazılımların kullanılmasının engellenmesini,
Şirket bilgisayarlarının güvenlik duvarının açık durumda olmasını,
İnternet ağ geçidi ile kişisel verilerin güvenliğine tehdit teşkil edecek internet sitelerine ve çevrimiçi servislere erişimin engellenmesini,
Sistem odalarının fiziksel ve çevresel güvenliğinin sağlanmasını,
Kullanıcıların sistemlere giriş yaparken benzersiz kullanıcı adı ve şifre kullanmalarını,
Kullanıcı hesap yönetimi ile kişisel verilerin bulunduğu sistemlere erişimin sınırlanmasını,
Kullanılan sistemlere yönelik açıklık analizi ve sızma testlerinin yaptırılmasını ve yapılan analiz ve test sonuçlarına göre gerekli tedbirlerin ivedilikle alınmasını,
SSL/TLS şifreleme sistemlerinin kullanılmasını,
Kullanıcıdan alınan ve elektronik ortamda saklanacak bilgilerin ilgili ortamda, verinin niteliğinin gerektirdiği ölçüde güvenlik sağlayacak şekilde şifreli olarak saklanmasını,
Önem derecesine göre sınıflandırılmış olan verilerin belirli zaman aralıklarında yedeklenmesini
Kişisel verilerin Şirket yetkilileri de dâhil olmak üzere yetkisiz kişi veya kişilerle paylaşılmamasını,
Sızma (Penetrasyon) testleri ile bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemlerin alınmasını,
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek risk ve tehditlerin sürekli olarak izlenmesini,
Erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığıyla bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesini,
Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemlerin alınmasını,
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemlerin alınmasını,
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontrollerin yapılmasını,
Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmalarının yapılmasını,
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemelerinin kontrol altında tutulmasını,
Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirlerin alınmasını,
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurul’a bildirmek için tarafımızca buna uygun bir sistem ve altyapının oluşturulmasını,
Güvenlik açıkları takip edilerek uygun güvenlik yamalarının yüklenmesi ve bilgi sistemlerinin güncel halde tutulmasını,
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolaların kullanılmasını,
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemlerinin kullanılmasını,
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programlarının kullanılmasını,
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişimin, erişim prensiplerine göre sınırlandırılmasını,
İnternet sayfamıza erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmesini,
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmesini,
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimlerin verilmesi, gizlilik sözleşmeleri yapılması ve verilere erişim yetkisine sahip kullanıcıların yetkilerinin tanımlanmasını,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınmasını,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemlerinin alınması, fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesini,
Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e- posta adresiyle veya KEP hesabı kullanılarak aktarılması; taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrakın “gizli” formatta gönderilmesini sağlamaktayız.
8.2. Kişisel Verilerin Güvenliğine Yönelik İdari Tedbirler
Kişisel verilerin güvenliğinin sağlanması için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli önlemler almaktayız. Bu kapsamda;
9.
Çalışanlarımızın kişisel verilerin hukuka uygun işlenmesi konusunda eğitilmesini ve bilgilendirilmesini,
Parola prosedürü gibi bilgi güvenliği ile ilgili prosedürlerin düzenlenmesini ve titizlikle uygulanmasını,
Verilerinizin Şirket çalışanları tarafından hukuka aykırı olarak işlenmesi halinde alınacak tedbirlerin çeşitli politika ve prosedürlerle düzenlenmesini,
İhtiyaç duyulmayan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Bilginin çalınmasını, kaybolmasını veya bozulmasını engellemek amacıyla tüm makul önlemlerin alınmasını,
Ortaya çıkabilecek riskler ile risk kontrol ve önlem adımlarının belirlenmesini,