Kişisel Veri Saklama ve İmha Politikası
I. GİRİŞ
6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup “kimliği belirli veya belirlenebilir” gerçek kişilere (“ilgili kişi”) ilişkin her türlü bilginin işlenmesine ilişkin düzenlemeleri içermektedir. Paket Lojistik ve Teknoloji A.Ş. (“Şirket”) olarak Kanun gereği kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor, tüm planlama ile faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle Şirketimiz, kişisel verilerin korunması ve işlenmesi için tüm idari ve teknik tedbirleri almaktadır. Bu konunun en önemli ayağını ise işbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile yönetilen; ilgili kişilerin kişisel verilerinin korunması ve imhası oluşturmaktadır.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.
1. POLİTİKA’NIN AMACI
İşbu Politika’nın amacını, Şirketimizce gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin usul ve esasların belirlenmesi oluşturmaktadır. Politika’nın amacı doğrultusunda, Şirketimiz tarafından gerçekleştirilen kişisel verilerin saklanması, korunması ve imhası faaliyetlerinde mevzuata tam uyumun sağlanması ile ilgili kişilerin özel hayat gizliliği ve veri güvenliği hakkının korunmasını hedeflenmekteyiz.
POLİTİKA’NIN KAPSAMI
İşbu Politika; Şirket tarafından ilgili kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Bu doğrultuda yukarıda sayılan ilgili kişilere Politika hükümlerinin tamamı uygulanabileceği gibi yalnızca bir kısım hükümleri de uygulanabilecektir.
TANIMLAR VE KISALTMALAR
İşbu Politika içerisinde yer alan tanımlara ek olarak aşağıda yer alan tanım ve kısaltmalar, yanlarında denk gelen açıklamayı ifade etmektedir.
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. | |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. | |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. | |
Çalışan | Şirket personeli. | |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. | |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. | |
Hizmet Sağlayıcı | Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. | |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. | |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. | |
VERBİS | Veri Sorumluları Sicil Bilgi Sistemi | |
Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. | |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. | |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. | |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. | |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. | |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. | |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. | |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. | |
Kurul | Kişisel Verileri Koruma Kurulu | |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. | |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. | |
Politika | Kişisel Verileri Saklama ve İmha Politikası | |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. | |
Araç Müşterisi | Şirketimizden araç satın alan gerçek kişiler. | |
Kargo Gönderen Müşteri | Cafe, restaurant, market ve mağaza sahipleri gerçek kişiler. | |
Kargo Gönderen Müşteri Çalışanı/Yetkilisi | Cafe, restaurant, market ve mağazada çalışanlar ve yetkilileri gerçek kişiler. | |
Kargo Teslim Alan Tüketici | Şirketimiz adına hizmet veren kuryeler tarafından teslimat yapılan cafe, restaurant, market ve mağaza müşterileri gerçek kişiler. | |
3. Kişi Firma Çalışan/Yetkili | Şirketimizin hizmet aldığı firma çalışan ve yetkilileri gerçek kişiler. | |
Harici Danışman | Şirketimizin hizmet aldığı kurye olmayan gerçek kişiler. | |
Şirket Yetkilisi/Çalışan | Şirket yönetim kurulu üyesi ve diğer yetkili kişiler. | |
Şirket Ortağı | Şirket ortakları gerçek kişiler | |
Hizmet Veren Kurye | Şirket adına dağım yapan bağımsız çalışan kurye gerçek kişiler | |
Hizmet Veren Kurye Adayı | Şirket adına dağım yapan bağımsız çalışan kurye adayı gerçek kişiler | |
Çalışan | Şirket bünyesinde çalışan gerçek kişiler | |
Çalışan Adayı | Şirket bünyesinde çalışan adayı gerçek kişiler | |
Üçüncü Kişi | İşbu Politika’da herhangi bir ilgili kişi kategorisine girmeyen diğer kişilerdir. |
II. POLİTİKA ESASLARI
POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI
İşbu Politika, yürürlükte bulunan mevzuat ile ortaya konulan kuralların Şirketimizin uygulamaları kapsamında somutlaştırılıp düzenlenmesiyle oluşturulmuştur. Bu kapsamda kişisel verilerin saklanması ve imhası konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Şirket olarak Kanun’da öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıkları yürütmekteyiz.
POLİTİKA’NIN YÜRÜRLÜĞÜ
Şirketimiz tarafından düzenlenerek 07.04.2016 tarihinde yürürlüğe giren Politika 13.12.2022 tarihinde güncellenmiştir.
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLER
Şirketimiz tarafından kişisel veriler, Şirket Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde kanunlardan doğan sorumlulukları eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirketimiz veya Şirketimiz tarafından görevlendirilen veri işleyenler tarafından işlenir.
Saklamaya İlişkin Esaslar
Kanun’un 10. maddesi gereği Şirketimiz, ilgili kişilere kişisel verilerinin hangi amaçlarla işlendiği bilgisini vermektedir. Şirkette, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler,
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun,
- 6102 sayılı Türk Ticaret Kanunu,
- Kişisel Sağlık Verileri Hakkında Yönetmelik,
- 4734 sayılı Kamu İhale Kanunu,
- 4735 sayılı Kamu İhaleleri Sözleşmeleri Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857 sayılı İş Kanunu,
- Bu kanunlar ve ilgili diğer kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler ve sair mevzuat hükümleri
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Şirket, Paket Lojistik ve Teknoloji Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası ile Paket Lojistik ve Teknoloji Anonim Şirketi Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın ilgili maddelerinde yer alan kişisel veri işleme amaçlarıyla ve Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarına istinaden kişisel verileri saklamakta ve kullanmakta olup, söz konusu şartların tamamının ortadan kalkması halinde, kişisel verileri re’sen veya ilgili kişinin talebi üzerine imha etmektedir.
İmhaya İlişkin Esaslar
Saklamaya ilişkin açıklamalar imha için de geçerli olmakla birlikte kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11. inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
KİŞİSEL VERİLERİN SAKLANMASI VE İMHA SÜRECİNDE YER ALAN BİRİMLAR, UNVANLARI VE GÖREV TANIMLARI
Şirketimizin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
KİŞİSEL VERİ KAYIT ORTAMLARI
Kişisel veriler, Şirketimiz tarafından aşağıda yer alan tabloda (Tablo 1) listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo 2: Veri Kayıt Ortamları
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
Sunucular (yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)Yazılımlar (ofis yazılımları, portal)Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )Kişisel bilgisayarlar (Masaüstü, dizüstü)Mobil cihazlar (telefon, tablet vb.)Optik diskler (CD, DVD vb.)Çıkartılabilir bellekler (USB, Hafıza Kart vb.)Yazıcı, tarayıcı, fotokopi makinesi | KağıtManuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri, aday formları, eşya buluntu formu/eşya teslim tutanağı, görüş ve öneri formu, iş başvuru formu, personel bilgi formu, Şirket nezdinde tutulan her türlü form)Yazılı, basılı, görsel ortamlarBirim DolaplarıArşiv |
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Şirketimiz tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde aşağıda belirtilen tedbir ve önlemler alınmaktadır.
Güvenlik
Şirketimiz Kanun’a uygun olarak kişisel verilerin hukuka aykırı biçimde erişilmesini ve işlenmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
Denetim
Şirketmiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Bu kapsamda hem Şirket içerisinde bir ekip oluşturulmuş olup hem de dışarıdan destek alınmaktadır.
Gizlilik
Şirketimiz, ilgili veri sorumluları ve veri işleyenlerin, sahip oldukları kişisel verileri Kanun ve Politika hükümlerine aykırı olarak başkasına açıklamamaları ve işleme amacı dışında kullanmamaları için teknolojik imkân ve uygulama maliyetlerine göre gerekli tüm teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket çalışanlarımız ile Kanun ve Politika hakkında bilgilendirilme ve eğitim çalışmaları yapılmaktadır.
Kişisel Verilere Yetkisiz Erişim
Şirketimiz tarafından işlenen kişisel verilerin Kanun’a uygun olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa sürede ilgili kişine ve Kurul’a bildirilmesi için gerekli işlemleri yürütür. Kurul tarafından gerekli görülmesi halinde bu durum Kurul’un internet sitesinde ya da Kurul tarafından uygun görülecek başka bir yöntemle ilan edilebilir.
İlgili Kişilerin Yasal Haklarının Gözetilmesi
Şirketimiz, ilgili kişilerin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır.
Özel Nitelikli Kişisel Verilerin Korunması
Kanun’un 6. maddesine göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına veya mağduriyete neden olma riski taşıyan veriler olup diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Bu nedenle Şirketimiz tarafından hukuka uygun olarak işlenen bu tür kişisel verilerin korunması için gerekli tüm tedbirler hassasiyetle alınır.
Bu çerçevede alınan teknik tedbirler aşağıdaki gibidir:
- Sızma (Penetrasyon) testleri ile Şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
- Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (ISO27001 standartlarında sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- Kurum internet sayfasına erişimde güvenli protokol kullanılarak ___ algoritmasıyla şifrelenmektedir.
- Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
- Gizlilik sözleşmelerinin yapılması,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
- Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
- Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
- Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
- Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
- Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
Özel nitelikli kişisel veriler aktarılacaksa
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
- Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi.
Şirketimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
- Şirketimiz tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
- Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
KİŞİSEL VERİLERİN İMHA TEKNİKLERİ
28.10.2017 tarihli Resmi Gazete’de Yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (“Yönetmelik”) ‘İlkeler’ başlıklı 7. Maddesi uyarınca kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili yapılan bütün işlemler Şirketimiz tarafından kayıt altına alınır ve söz konusu kayıtlar diğer hukuki yükümlülüklerimiz saklı kalmak kaydıyla en az 3 yıl boyunca saklanır.
Kişisel verilerin silinmesi ile bu veriler ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Buna göre veri sorumlusu olarak Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır. Kişisel veriler aşağıda yer alan tabloda belirtilen yöntemlerle silinir.
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir. Bu kapsamda aşağıda yer alan tabloda belirtildiği şekilde yok etme işlemleri gerçekleştirilmektedir.
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makineleriyle veya yakılarak veya tamamen yırtılarak geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.
Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri silebilir veya yok edebilir.
Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
Fiziksel Olarak Yok Etme (Physical Destruction):
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak silinmesi/yok edilmesi sistemi uygulanmaktadır.
Yazılımdan Güvenli Olarak Silme (Secure Deletion Software):
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler ile dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcıların erişim haklarının kaldırılması yöntemleri kullanılır.
Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)
Şirketmiz bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirketimiz veri sorumlusu sıfatıyla, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket olarak hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmekteyiz. Kanun’unun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamının dışında olup, ilgili kişinin açık rızası aranmayacaktır. Şirketmiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır:
Maskeleme (Masking):
Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 **** **** 0006)
Toplulaştırma (Aggregation)/Kümülatif Data Yaratma:
Verilerin kümülatif hale getirilerek toplam değerlerinin yansıtılmasını ifade eder. Örneğin, Şirkette kadın çalışan sayısının Z adet olması ve sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiştir.
Veri Türetme (Data Derivation):
Mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.
Veri Karma (Data Shuffling, Permutation):
Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Örneğin, ses kayıtlarının niteliği değiştirilerek seslerle ilgili kişinin ilişkilendirilemeyecek hale getirilmesi.
Bunlara ek olarak Şirketimiz tarafından Kurum tarafından belirtilen ve aşağıda sayılan diğer anonimleştirme teknikleri kullanılabilecektir:
- Değişkenleri Çıkartma
- Kayıtları Çıkartma
- Alt ve Üst Sınır Kodlama
- Bölgesel Gizleme
- Örnekleme
- Mikro-Birleştirme
- Veri Değiş-Tokuşu
- Gürültü Ekleme
- Tekrar Örnekleme
- K-Anonimlik
- L-Çeşitlilik
- T-Yakınlık
KİŞİSEL VERİLERİ SAKLAMA VE İMHA VE PERİYODİK İMHA SÜRELERİ
Şirketimiz, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin kanunlarda ve sair mevzuatta bir süre düzenlemesi bulunmuyorsa, kişisel veriler Şirketimizin o kişisel veriyi işlediği zaman yürütülen faaliyet kapsamında kişisel veriyi işleme amacının gerçekleşmesine kadar süre boyunca işlenmekte, imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha tarihi ve işleminde silinmekte, yok edilmekte veya anonim hale getirilmektedir. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Şirketimizce yetkilendirilen kişiler tarafından veya kurulan yazılımsal altyapı ile kendiliğinden yerine getirilir.
Şirketimiz, işleme amacı sona ermiş kişisel verileri imha etmek amacıyla 15-30 Ocak ve 15-30 Haziran tarihlerini periyodik imha tarihleri olarak belirlemiştir. Bu tarihlerde, işlenmesini gerektiren sebepleri ortadan kalkan kişisel veriler otomatik, yarı otomatik veya manuel olarak imha edilecektir.
Süreç bazında kişisel verileri saklama ve imha süreleri aşağıdaki gibidir:
Süreç | Saklama Süresi | İmha Süresi |
İş Başvuru Süreci | İş başvurusu reddedilen formlar için 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İşe Kabul ve Özlük Dosyası Oluşturma Süreci | İş akdinin sona erme tarihinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İşçi Ücreti Muhasebe ve Bordrolama Süreci | İş akdinin sona erme tarihinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İşçi İzin ve Yıllık İzin Süreci | İş akdinin sona erme tarihinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Posta/Kargo Gönderimi ve Alınması Süreci | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mal/Hizmet Alımı ve Satışı Süreçleri | Sözleşmesel ilişkinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnternet Sayfası İletişim Süreci | 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Araç Takip ve Filo Yönetimi Süreci | Araç Takip Sağlayan Firma ile sözleşmesel ilişkinin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hizmet İçi Eğitim Süreci | İş akdinin sona erme tarihinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket İçi Doküman Yönetimi | İş akdinin sona erme tarihinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Mekan Güvenliği Süreci | 6 ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Risk Yönetim Süreci | Sözleşme ilişkilerinin sona erme tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hukuki İşlem Süreci | Hukuki işlemin sona erme tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kablosuz internet hizmet kullanımına ilişkin veriler/Log Kayıtları | İlk kaydın yapıldığı tarihten itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Üçüncü kişilerle imzalanan sözleşmeler (Kira sözleşmeleri, hizmet sözleşmeleri, organizasyon sözleşmeleri, vb.) | İlgili sözleşmenin sona erme tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İhale Başvuru Süreçleri | İhale başvurusunun olumsuz sonuçlanmasından itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İhale Sözleşme Süreçleri | İhale kapsamında sözleşmenin sona ermesinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |