Kişisel Veri
PHİACADEMY GÜZELLİK HİZMETLERİ TİCARET VE PAZARLAMA LİMİTED ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1 POLİTİKANIN AMACI VE KAPSAMI
1.1 İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Phiacademy Güzellik Hizmetleri Ticaret Ve Pazarlama Limited Şirketi'nin (“Şirket”) gerçekleştirilmekte olduğu saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
1.2 İşbu politika, Şirket çalışanlarını, müşterileri, çalışan adaylarını, hizmet sağlayıcıları, ziyaretçileri ve diğer ilgili üçüncü kişileri kapsamaktadır.
1.3 İşbu Politika; Şirket’in kişisel veriler üzerinde uygulayacağı tüm saklama ve imha faaliyetlerini kapsamaktadır.
1.4 İşbu Politika, sadece kişisel verilerin imha ve saklama işlemleri için uygulanacaktır.
1.5 Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda Şirket, Politikayı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
İşbu Politikanın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder;
|
Alıcı grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişilerin oluşturduğu gruptur. |
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir |
|
Kanun |
6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur |
|
Veri Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır |
|
Veri Envanteri |
Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanterdir |
|
Kurul |
Kişisel Verileri Koruma Kurulu’dur |
|
Periyodik imha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen belirli zaman aralıklarında Şirket tarafından resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir |
|
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
|
Veri Sahibi |
Kanun’un 3. maddesinde tanımlanan ilgili kişileri ifade etmektedir. |
|
Yönetmelik |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir |
3 POLİTİKANIN UYGULANMASINA YÖNELİK İLKELER
3.1 İşbu Politika, Kanunun 7.maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan kişisel verilerin imhasından sorumlu olan gerçek veya tüzel kişiler hakkında uygulanır ve Şirket ile Şirket’in sözleşmesel olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirler.
3.2 Yönetmelik uyarınca Şirket, Veri Sorumlusu olarak, uhdesinde bulunan kişisel verileri Veri Envanterine uygun bir şekilde saklamak, kaydını tutmak ve gerektiğinde imha etmek için işbu Politika’yı hazırlamak ve uygun hareket etmek ile yükümlüdür.
3.3 Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:
3.3.1 Kanunun 4’üncü maddesinde yer alan; (i) hukuka ve dürüstlük kurallarına uygun olma, (ii) doğru ve gerektiğinde güncel olma, (iii) belirli, açık ve meşru amaçlar için işlenme, (iiii) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, (ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulacaktır.
3.3.2 Şirket, işbu Politikayı hazırlamış olmanın tek başına kişisel verilerin Yönetmelik, Kanun ve ilgili mevzuata uygun olarak imha edildiği anlamına gelmeyeceğini kabul etmektedir.
3.3.3 Şirket, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, Kanunun 12. Maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kurulu’un alacağı kararlara ve bu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
3.3.4 Şirket, bünyesinde bulundurduğu kişisel verilerin amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin imhası sırasında işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.
3.3.5 Şirket, Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu teknik ve idari tedbirler, kişisel verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili oluşturulan teknik kılavuzlarda tariflenir.
3.3.6 Şirket, Kişisel verileri saklama ve imha süreçlerinde hazır bulunacak çalışanları olacaksa, bunların unvan, birim ve görev tanımlarını belirler.
4.1 Şirket, işbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Politika’nın kapsamına dâhil etmeyi kabul eder.
4.2 Elektronik Ortamlar
(i) Ofis Yazılımları
(ii) Masaüstü ve dizüstü bilgisayarlar,
(iii) Mobil telefon,
(iv) E-posta sunucuları,
(v) Yazılımlar
(vi) Bulut ortamı,
(vii) Sunucular,
(viii) Taşınabilir medya,
(ix) Ağ üzerinde veri saklanması için kullanılan disk sürücüleri,
(x) Yazıcı, tarayıcı, fotokopi makinesi,
(xi) Diğer veri tabanları.
4.3 Elektronik Olmayan Ortamlar
(i) Kâğıt,
(ii) Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri),
(iii) Yazılı, basılı, görsel ortamlar.
5 KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN DURUMLAR
5.1 Şirket tarafından; Şirket çalışanlarını, müşterileri, çalışan adaylarını, hizmet sağlayıcıları, ziyaretçileri ve diğer ilgili üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.
5.2 Bu bağlamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir. Saklamayı gerektiren sebepler aşağıdaki gibidir:
5.2.1 Kişisel Verilerin sözleşmelerin kurulması ve ifası ile doğrudan ilgili olması nedeniyle saklanması,
5.2.2 Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
5.2.3 Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
5.2.4 Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
5.2.5 Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
5.2.6 Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
5.3 Bu doğrultuda, aşağıda belirtilen kapsamda bir ihlal olması durumunda potansiyel güvenlik ihlal durumu kabul edilerek Şirket tarafından ilgili güvenlik ihlal süreçleri işletilecek ve bunlara ilişkin rapor ve bildirimler gerekli görülen durumlarda Şirket yönetimi, Kurul ve ilgili kişisel veri sahipleri nezdinde paylaşılacaktır. Bu amaçla söz konusu rapor ve bildirimlerin yapılması için Şirket in ihlal yönetimi süreçleri uygulanacaktır.
5.4 Kanuna Aykırılık
Şirket, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.
Şirket, Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;
5.4.1 Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin kişisel verilerini saklamayacaktır.
5.4.2 İstisna kapsamında veya açık rıza kapsamında işlenen verilerin işleme amacının ortadan kalkması ve/veya yasal saklama sürelerinin dolması halinde Şirket bu kişisel verileri saklamayacak ve imha edecektir.
5.5 Kişisel Veri İşleme Şartlarının Ortadan Kalkması
Şirket, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu kişisel veri isle sürecinde yer alan ilgili tüm çalışanları ile paylaşır.
Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam etmeyecektir. Bu durumların tespiti ilgili iş biriminin önerisi ile şirket yetkili birimi tarafından yapılır ve işbu Politika’ya uygun şekilde imha işlemi gerçekleştirir.
Şirket aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:
(i) İlgili mevzuatın kişisel verileri işlemeye esas teşkil eden hükümlerinin değiştirilmesi veya yürürlükten kaldırılması;
(ii) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
(iii) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
(iv) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
(v) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
(vi) İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun Şirket tarafından kabulü,
(vii) Şirket, ilgili kişi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
(viii) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
6.1 Kişisel verilerin imhası, aşağıda detaylıca açıklanan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde yapılabilir.
6.2 Şirket bünyesinde ilgili iş birimleri, söz konusu kişisel verilerin bulunduğu bilgi sistemleri ve uygulama sahipleri ve konuyla ilgili olabilecek diğer kişi ya da bölümler kişisel verilerin imhası için uygulanacak yönteme bu imhanın nedenine bağlı olarak yazılı karar verir.
6.3 Kişisel verilerin saklanması ve imhası için kullanılacak yöntemlerle ilgili Şirket ayrıca teknik kılavuzlar oluşturur ve bunların uygulanmasını sağlar.
6.4 Kişisel verilerin imhasının takibi Şirket içerisindeki ilgili veri sahibi iş biriminin sorumluluğundadır. Veri sahibi iş birimi, verilerin imhası için denetimi kendisi tarafından yapılmak kaydıyla Şirket’in farklı birimlerinden destek alır.
6.5 Kişisel Verilerin Silinmesi
6.5.1 Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
6.5.2 Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi sürecinde, yasal saklama süreleri göz önünde bulundurularak silme işlemine konu olacak kişisel veriler belirlenir. Şirket kişisel verilere erişim ve yetkilendirme anlamında Şirket’in mevcut durumda bilgi sistemleri ve uygulamaları üzerinde yürütmekte olduğu rol ve yetki matrisleri dahilinde güncellemelerini yapar.
6.5.3 Şirket, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. Şirket, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder.
6.6 Kişisel Verilerin Yok Edilmesi
6.6.1 Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
6.6.2 Yok etme işlemi, Şirket ‘in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.
6.6.3 Kağıt ve mikrofiş ortamları için bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilecektir. Ayrıca, Şirket bu kapsamda Üçüncü Taraflardan imha hizmeti alabilir.
6.7 Kişisel Verilerin Anonimleştirilmesi
6.7.1 Anonim hale getirme işlemi, Şirket’in kişisel verileri tamamen veya kısmen otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
6.7.2 Şirket, ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıları çıkartarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engelleyerek bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar.
6.7.3 Verilerin anonimleştirilmesi sırasında Şirket, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanabilir.
7 KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
7.1 Kişisel verilerin imhası için Şirket, imha sırasında kullanılabilecek tüm yöntemleri İşbu Politika ve eklerinde tanımlar. Veri sahibi iş birimi, işbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.
7.2 Kişisel verilerin imhası sırasında Şirket vereceği yazılı karara göre aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:
7.2.1 Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 7 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.
Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
7.2.3 Fiziksel İmha
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak imha edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.
7.2.4 Bulut İmhası
Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.
7.2.5 Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası
Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel imha etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.
8.1 Periyodik İmha ve Yasal Saklama Süreleri
8.1.1 Yasal saklama ve imha sürelerini dolduran fiziksel ve elektronik veriler, periyodik olarak imha edilir. Şirket, imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha eder.
8.1.2 Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Periyodik imha sırasında baz alınacak yasal saklama süreleri, Şirketin Veri Envanteri’nde belirlenmiştir. İmha işlemi, imha yükümlülüğünün doğmasını takiben ilk Periyodik imha sırasında uygulanır.
8.1.3 İmha edilen kişisel verilere ilişkin tüm işlemler kayıt altına alınır ve bu kayıtlar 3 yıl süre ile saklanır.
8.2 Veri Sahiplerinin Talep Etmesi Durumunda İmha Süreci
8.2.1 Veri sahiplerinin Şirket’e başvurarak kendisine ait kişisel verilerin imhasını talep ettiği durumlarda Şirket, kişisel verileri işleme şartlarının mevcut durumunu kontrol eder. Söz konusu kontrol sonucunda;
8.2.1.1 Kişisel verileri işleme şartlarının tamamının ortadan kalktığı anlaşılırsa, talebe konu kişisel veriler işbu Politika’da belirtilen karar ve yöntemlere uygun olarak en geç 30 (otuz) gün içinde imha edilir ve ilgili kişiye bilgi verilir.
8.2.1.2 Kişisel verileri işleme şartlarının ortadan kalktığı ve talebe konu olan kişisel verilerin üçüncü kişilere aktarıldığı anlaşılmışsa Şirket bu durumu ilgili üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
8.2.1.3 Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirket ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirir.
8.2.2 Veri sahiplerinden gelecek taleplerin karşılanması ve yanıtlanması amacıyla Şirket bünyesinde Kişisel Veri Sahiplerinden Gelen Talep ve Şikayetlerin Yönetimi Süreci oluşturulur.
9 SAKLAMA VE İMHA SÜREÇLERİNDE YETKİLENDİRME
9.1 Şirket, kişisel verileri saklama ve imha süreçlerinde görev alanlar KVKK Çalışma Ekibi olarak nitelendirmekte olup aşağıdaki iş ve işlemlerden sorumludurlar.
9.1.1 Kişisel verilerin saklanması ve imhası konusunda Şirketin ilgili iş birimleriyle beraber çalışarak politika ve yöntemler hakkında karar verir, Politika ve eklerinin güncel tutulmasına sağlar, gerekli durumlarda Şirketin ilgili birimleri ile yakın çalışarak Politika’nın Kanun ve Yönetmeliğe uygun ve doğru şekilde yürütülmesini temin eder.
9.1.2 Kişisel verilerin saklanması ve imhası ile ilgili hukuki konularda danışmanlık yapar, Kanun, Yönetmelik ve ilgili mevzuat değişikliği halinde ilgili iş birimlerine gerekli bilgilendirmeyi yapar. Politika’nın Kanun ve Yönetmeliğe uygun olarak yürütülmesini temin eder.
9.1.3 Politika’da belirtilen karar ve yöntemler ışığında ilgili imha ve saklama süreçlerinin Kanun ve Yönetmeliğe uygun şekilde gerçekleştirilmesini sağlar.
9.1.4 Kişisel verilerin saklanması ve imhası konusunda politika ve yöntemlerin belirlenmesi için görüş ve gerekçelerini belirtir ve bu Politika nezdinde yürütülmesi aksiyonların takibini yapar.
10 KİŞİSEL VERİ GÜVENLİĞİNİN SAĞLANMASI
Şirket, Kanun'un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bu yükümlülük çerçevesinde şirket tarafından alınan idari ve teknik tedbirler aşağıda sayılmıştır:
10.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
10.1.1 Personeller, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
10.1.2 Ağ bağlantısı için kullanılan cihazların yer aldığı odalar sürekli kilit altında tutulmaktadır.
10.1.3 Çalışanlar veri güvenliği hükümleri hakkında mevzuata uygun olarak bilgilendirilmiştir.
10.1.4 Erişim bilgi güvenliği kullanım saklama ve imha konularında kurumsal politikalar hazırlandı ve uygulanmaya başlandı.
10.1.5 Kişisel veri güvenliği politika ve prosedürleri belirlendi.
10.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Teknik Tedbirler
10.2.1 Personellerin kullanıcı hesapları için belirlenen şifreler küçük harf, büyük harf, rakam ve simgelerin kullanıldığı karışık yapıda belirlenmektedir.
10.2.2 Personeller, çalıştığı departmana ve iş rolüne göre kişisel verilerin bulunduğu odalara erişim için yetkilendirilmektedir.
10.2.3 Kişisel verilerin bulunduğu sunucular üzerinde çalışan işletim sistemlerinin, sistem yazılımlarının ve güvenlik amaçlı yazılımların sürekli güncellenmesi sağlanmaktadır.
10.2.4 Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
10.2.5 Bilgi teknolojileri sistemleri tedarik geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
10.2.6 Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
10.2.7 Güncel anti virüs sistemleri ve güvenlik duvarı kullanılmaktadır.
10.2.8 Kişisel veri içeren ortamın güvenliği sağlanmaktadır.
11 POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
11.1 Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda, Şirket Politikayı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
11.2 Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşılacaktır.
EK 1: Kişisel Veri Saklama Sürelerini Gösteren Tablo
|
KİŞİSEL VERİ KATEGORİSİ |
SAKLAMA SÜRELERİ |
PERİYODİK İMHA SÜRESİ |
|
Sözleşme ilişkilerinde (TBK genel zamanaşımı süresi) |
Ticari ilişkinin sona ermesinden itibaren 10 yıl |
Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
|
Çalışan Adaylarının İş Başvuruları |
İşe Alım Sürecinin Sonlanmasından İtibaren 6 Ay |
Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
|
Personel Özlük İşleri |
İş ilişkisinin sona ermesinden itibaren 10 yıl |
Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
|
İş Sağlığı ve Güvenliği Faaliyetleri |
İş ilişkisinin sona ermesinden itibaren 10 yıl |
Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
|
Ödeme İşlemleri |
İş ilişkisinin sona ermesinden itibaren 10 yıl |
Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
|
Personel Finansman Süreçleri |
İş ilişkisinin sona ermesinden itibaren 10 yıl |
Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
|
Kaza Raporlama |
İş ilişkisinin sona ermesinden itibaren 10 yıl |
Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
|
Sağlık ve Biyometrik Verileri |
Açık rızanın mevcut olmasına bağlı olarak iş ilişkisinin sona ermesinden itibaren 10 yıl |
Açık rızanın mevcut olmasına bağlı olarak Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
|
Güvenlik Verileri |
Kayıt Tarihinden İtibaren 30 Gün |
Saklama Süresinin Dolmasından İtibaren İtibaren 30 gün Sonra İmha Edilmektedir |
|
Ziyarete Gelen Müşteriler ve Müşteri çalışanları |
Toplanmadan İtibaren 30 Gün |
Saklama Süresinin Dolmasından İtibaren İtibaren 30 gün Sonra İmha Edilmektedir |
EK 2: Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirlere İlişkin Tablo
|
Kişisel Verilerin Silinmesi |
|
|
Veri Kayıt Ortamı |
Açıklama |
|
Sunucularda Yer Alan Kişisel Veriler |
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
|
Elektronik Ortamda Yer Alan Kişisel Veriler |
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
|
Taşınabilir Medyada Bulunan Kişisel Veriler |
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
|
Kişisel Verilerin İmhası |
|
|
Veri Kayıt Ortamı |
Açıklama |
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde imha edilir. |
|
Optik / Manyetik Medyada Yer Alan Kişisel Veriler |
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak imha işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
EK 3: GÜNCELLEME TABLOSU
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.
|
GÜNCELLEME TARİHİ |
DEĞİŞİKLİKLERİN KAPSAMI |
|
[*] |
Güncel tarihtir. |
|
|
|
|
|
|