ER-PA ÖZEL DENİZLİ SAĞLIK HASTANESİ A.Ş.
Kişisel Veri Saklama ve İmha Politikası
(“Politika”)
Doküman Bilgileri | |||
Doküman Adı: | ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Kişisel Veri Saklama ve İmha Politikası | ||
Hedef Kitle | ER-PA Özel Denizli Sağlık Hastanesi A.Ş. tarafından kişisel verileri işlenen tüm gerçek kişiler | ||
Referans / Gerekçe | 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve sair ilgili ikincil düzenlemeler | ||
Onaylayan: | ER-PA Özel Denizli Sağlık Hastanesi A.Ş. [Yönetim Kurulu] | ||
İşbu Politika’nın hazırlanmış olduğu Türkçe dilindeki hali ile herhangi bir çeviri hali arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin dikkate alınmalıdır.
İşbu belge ER-PA Özel Denizli Sağlık Hastanesi A.Ş.’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
ER-PA ÖZEL DENİZLİ SAĞLIK HASTANESİ A.Ş.
1.1. İşbu ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Kişisel Veri Saklama ve İmha Politikası (“Politika”), ER-PA Özel Denizli Sağlık Hastanesi A.Ş. (“Şirket”) bünyesinde veya Şirket adına kişisel veri işlenen herhangi bir sürece dahil olan tüm Şirket departmanları ve çalışanları ile üçüncü kişileri ve kişisel verileri işlenen tüm gerçek kişileri kapsamaktadır.
1.2. İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.
1.3. İşbu Politika, ilgili mevzuatın gerektirmesi halinde yahut Şirket’in gerekli gördüğü hallerde zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.
1.4. İlgili mevzuat düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde ilgili mevzuat düzenlemeleri esas alınır.
Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. | |
Alıcı Grubu | Veri Sorumlusu tarafından Kişisel Veri’lerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder. |
Anayasa | Türkiye Cumhuriyeti Anayasası’nı ifade eder. |
Anonim Hale Getirme veya Anonimleştirme | Kişisel Veri’lerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. |
Başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmiş veriyi ifade eder. | |
İlgili Kişi | Şirket tarafından veya Şirket adına yetkilendirilmiş kişiler/kurumlar tarafından Kişisel Veri’leri işlenen gerçek kişileri ifade eder. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda Kişisel Veri’leri işleyen kişileri ifade eder. |
İmha | Kişisel Veri’lerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesini ifade eder. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veri’lerin bulunduğu her türlü ortamı ifade eder. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan Özel Nitelikli Kişisel Veri’leri de kapsayacaktır). |
Kişisel Verilerin İşlenmesi | Kişisel Veri’lerin tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlemi ifade eder. |
Komite | Şirket’in Kişisel Verilerin Korunması Komitesi’ni ifade eder. |
Kurul | Kişisel Verileri Koruma Kurulu’nu ifade eder. |
Kurum | Kişisel Verileri Koruma Kurumu’nu ifade eder. |
KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
KVK Düzenlemeleri | KVKK ile yürürlükte bulunan Kişisel Veri’lerin korunmasına ilişkin uygulanabilir uluslararası sözleşmeler, ilgili kanun ve düzenlemeler, Kurul kararları, Kurum rehberleri, sair düzenleyici ve denetleyici otorite, mahkeme ve diğer resmi makam kararları/talimatları ile ileride yürürlüğe girebilecek olan Kişisel Veri’lerin korunması alanındaki tüm düzenlemeler ve bunlarda yapılacak değişiklikleri ifade eder. |
KVK Prosedürleri | Şirket’in, Şirket çalışanlarının ve Komite’nin KVK Politikaları kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder. |
Sicil | Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili’ni ifade eder. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. |
Silme veya Silinme | Kişisel Veri’lerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. |
Veri Envanteri | Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veri’leri işleme faaliyetlerini; Kişisel Veri’leri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Veri’lerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Veri’leri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanteri ifade eder. |
Veri Kayıt Sistemi | Kişisel Veri’lerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
Veri Sorumlusu | Kişisel Veri’lerin işleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sistemi’nin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. |
Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’i ifade eder. |
Yok Etme | Kişisel Veri’lerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. |
3.1. Yönetmelik hükümleri uyarınca Şirket, Sicil’e kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, KVK Düzenlemeleri uyarınca oluşturmuş olduğu Veri Envanteri’ne uygun bir şekilde Kişisel Veri’leri, saklamak ve gerektiğinde İmha etmek için bir politika hazırlamak ve bu politikaya uygun hareket etmek ile yükümlüdür. Bu kapsamda Şirket, sayılan yükümlülükleri yerine getirmek amacıyla işbu Politika’yı hazırlamıştır.
3.2. İşbu Politika ile Şirket, Kişisel Verilerin İşlenmesi faaliyetlerine konu İlgili Kişi’lerin Kişisel Veri’lerinin saklanması ve İmha edilmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla KVK Düzenlemeleri’nde belirlenen yükümlülüklerin Şirket ve Şirket’in Veri İşleyenleri tarafından yerine getirilmesini hedeflemiştir.
3.3. İşbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır.
3.4. Kişisel Veri’lerin saklanması ve İmha’sında aşağıdaki ilkeler geçerli olacaktır:
3.4.1. KVKK’nın 4. maddesindeki genel ilkeler ve Yönetmelik’in 7. maddesindeki ilkelere uyulacaktır.
3.4.2. Şirket, işbu Politika’yı hazırlamış olmanın tek başına Kişisel Veri’lerin KVK Düzenlemeleri’ne uygun olarak İmha edildiği anlamına gelmeyeceğini kabul etmektedir.
3.4.3. Şirket, Kişisel Veri’leri saklanması yahut İmha’sında, KVK Düzenlemeleri’ne ve işbu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
Şirket, KVK Düzenlemeleri kapsamındaki Kişisel Verilerin İşlenmesi faaliyetlerine konu tüm Kişisel Veri’leri, tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veri’lerin bulunduğu ve aşağıda belirtilen ortamlarda saklamaktadır. Şirket, işbu Politika ile Kişisel Veri içeren ve aşağıda sayılmış olan ortamlara ek olarak ortaya çıkabilecek diğer ortamlardaki Kişisel Veri’leri de işbu Politika’nın kapsamına dahil etmeyi kabul eder.
Elektronik Kayıt Ortamları | Elektronik Olmayan Kayıt Ortamj |
Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.) | Kağıt |
Yazılımlar (ofis yazılımları, portal) | Manuel veri kayıt sistemleri (anket formları, tutulması zorunlu defterler) |
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb. ) | Yazılı, basılı, görsel ortamlar |
Kişisel bilgisayarlar (masaüstü, dizüstü) | |
İş akdi kapsamında tahsis edilen mobil cihazlar ve içerisindeki tüm saklama alanları (telefon, tablet vb.) | |
Optik diskler (CD, DVD vb.) | |
Çıkartılabilir bellekler (USB, Hafıza Kart vb.) | |
Yazıcı, tarayıcı, fotokopi makinesi, parmak izi okuyucu gibi çevre birimler |
Şirket, Kişisel Veri’leri, yukarıda bahsi geçen ilkelerle uyumlu şekilde, ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın ilgili maddelerinde yer alan Kişisel Verilerin İşlenmesi amaçlarıyla ve aşağıda belirtilen KVKK’nın 5. ve 6. maddelerinde yer alan Kişisel Verilerin İşlenmesi şartlarına istinaden Kişisel Veri’leri saklamakta ve söz konusu şartların tamamının ortadan kalkması halinde, Kişisel Veri’leri re’sen veya İlgili Kişi’nin talebi üzerine İmha etmektedir.
Şirket, Kişisel Veri’lerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
5.1. Kişisel Veri’lerin Saklanmasını Gerektiren Durumlar
Şirket, (i) kanunlarda açıkça öngörülmesi, (ii) fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin İşlenmesi’nin gerekli olması, (iv) hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması, (v) bir hakkın tesisi, kullanılması veya korunması için Kişisel Verilerin İşlenmesi’nin zorunlu olması, (vi) İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için Kişisel Verilerin İşlenmesi’nin zorunlu olması hallerinde Kişisel Veri’leri KVK Düzenlemeleri’ne uygun olarak saklar. Şirket ayrıca (i) İlgili Kişi’nin Açık Rıza’sının bulunması ve (ii) KVKK’nın 6. maddesinin (3) numaralı fıkrasında yer verilen Özel Nitelikli Kişisel Veri’lerin işlenmesi şartlarının bulunması durumunda da Kişisel Veri’leri KVK Düzenlemeleri’ne uygun olarak saklar.
5.2. Kişisel Veri’lerin İmhasını Gerektiren Durumlar
Kişisel Veri’lerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu veriler, re’sen veya İlgili Kişi’nin talebi üzerine Şirket tarafından İmha edilir. Buna göre Şirket:
· Kişisel Veri’leri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
· Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
· Kişisel Veri’lerin işlenmesini gerektiren amacın ortadan kalkması,
· Kişisel Veri’leri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi, Kişisel Veri’leri işlemenin sadece Açık Rıza şartına istinaden gerçekleştiği hallerde, İlgili Kişi’nin rızasını geri alması,
· İlgili Kişi’nin, KVKK’nın 11. maddesinde tanınan hakları çerçevesinde Kişisel Veri’leri işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
· Şirket’in, İlgili Kişi tarafından Kişisel Veri’lerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi durumunda, Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
· Kişisel Veri’lerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, Kişisel Veri’leri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
· KVKK’nın 5. ve 6. maddelerindeki Kişisel Veri’lerin işlenmesini gerektiren şartların ortadan kalkması
gibi hallerde Kişisel Veri’leri İmha eder.
Şirket, Kişisel Verilerin İşlenmesi şartlarının belirlenmesinden ve güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır. Şirket, yukarıda belirtilen hallerde Kişisel Veri’leri KVK Düzenlemeleri’ne, işbu Politika’ya ve işbu Politika uyarınca Şirket tarafından oluşturulacak KVK Prosedürleri’ne uygun bir şekilde re’sen veya İlgili Kişi’nin talebi üzerine İmha etmekle yükümlüdür.
Şirket, Kişisel Veri’lerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, KVKK’nın 12. maddesi ve Yönetmelik hükümleri, işbu Politika ve Politika kapsamında çıkarılan KVK Prosedürleri, Kurul kararları ile Kurum rehberleri uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:
6.1.1. Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
6.1.2. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak yetki matrisi oluşturulmuş, kişisel hesap yönetimi sistemi kurulmuş ve şifreleme sistemleri aktive edilmiştir.
6.1.3. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve donanımlar kurulmakta, log kayıtları tutulmakta ve düzenli yedeklemeler yapılmaktadır.
6.1.4. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği Komite’ye raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
6.1.5. Açık Rıza dışında KVKK’nın 5. ve 6. maddelerinde düzenlenen hiçbir şart kapsamında değerlendirilemeyen ve işleme amacı bakımından Açık Rıza temin edilememiş Kişisel Veri’ler maskelenerek işlenmektedir.
6.1.6. Teknik konularda bilgili personel istihdam edilmekte ve bu kişiler kurulmuş olan Komite’nin daimi üyesi yapılmaktadır.
6.2. İdari Tedbirler
6.2.1. Şirket, çalışanlarını KVK Düzenlemeleri hakkında düzenli olarak (6 (altı) aylık periyotlarla) bilgilendirmekte ve eğitimler vermektedir. Eğitimler kapsamında, çalışanlara rolleri ve sorumlulukları anlatılmakta ve Şirket Kişisel Veri işleme faaliyetleri bakımından ‘yasaklanmadıkça her şey serbest’ prensibi yerine ‘izin verilmedikçe her şey yasak’ prensibinin geçerli olduğu açıklanmaktadır. Çalışanlar ile iş akdinin ifası sırasında öğrendikleri Kişisel Veri’leri KVK Düzenlemeleri’ne aykırı şekilde işlemeyecekleri ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda gizlilik sözleşmesi imzalanarak Kişisel Veri’lerin korunması adına gerekli taahhütler alınmıştır. Bu kapsamda, çalışan iş akitlerine ve disiplin yönetmeliklerine KVK Düzenlemeleri’ne uygun hükümler eklenmiştir. Şirket içi organizasyonlarında, bu taahhütlere ve sair gizlilik yükümlülüklerine uyulmaması durumunda işletilecek disiplin süreçlerini hazırlamıştır.
6.2.2. İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel Veri’lere erişim ve yetkilendirme süreçleri tasarlanmış ve uygulanmaktadır.
6.2.3. Şirket tarafından Kişisel Veri’lerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, söz konusu üçüncü kişiler tarafından da Kişisel Veri’lerin KVK Düzenlemeleri’ne uygun şekilde işleneceğine ilişkin hükümler eklenmektedir.
6.2.4. Kurum içi periyodik ve/veya rastgele denetimler yapılmaktadır. Risk analizleri gerçekleştirilerek gerekli önlemler alınmaktadır.
6.3. Kişisel Veri’lerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirket, KVKK’nın 12. maddesine uygun olarak, kendi bünyesinde oluşturduğu Komite aracılığı ile gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Şirket, KVKK’nın 5. ve 6. maddelerinde yer alan Kişisel Verilerin İşlenmesi şartlarının tamamının ortadan kalkması halinde, Kişisel Veri'leri aşağıdaki yöntemlerle İmha etmektedir. Şirket, Kişisel Veri’lerin İmha’sında azami dikkat ve özeni göstermektedir. Bu kapsamda Şirket, KVKK’nın 12. maddesi ve Yönetmelik hükümleri, işbu Politika ve işbu Politika kapsamında oluşturulan KVK Prosedürleri ile Kurul kararları ve Kurum rehberleri uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır. Şirket, Kurul tarafından aksine bir karar alınmadıkça, Kişisel Veri’leri re’sen Silme, Yok Etme veya Anonim Hale Getirme yöntemlerinden uygun olanını teknolojik imkanlar ve uygulama maliyetine göre seçmektedir.
7.1. Kişisel Veri’lerin Silinme Yöntemleri
Kişisel Veri’lerin silinmesi, Kişisel Veri’lerin İlgili Kullanıcı’lar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, silinen Kişisel Veri’lerin İlgili Kullanıcı’lar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Şirket, Kişisel Veri’leri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:
a. Kağıt Ortamı
Kağıt ortamında bulunan Kişisel Veri’ler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki Kişisel Veri’lerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak İlgili Kullanıcı’lara görünemez hale getirilmesi şeklinde yapılır.
b. Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosya işletim sistemindeki Silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde İlgili Kullanıcı’nın erişim hakları kaldırılır. Anılan işlem gerçekleştirilirken İlgili Kullanıcı’nın aynı zamanda sistem yöneticisi olmadığına dikkat edilir.
c. Taşınabilir Medya
Tüm bilgisayarlar Flash tabanlı (harici harddisk vb) kullanıma kapatılmıştır.
d. Veri Tabanları
Kişisel Veri’lerin bulunduğu ilgili satırların veri tabanı komutları (DELETE vb.) ile silinir. Anılan işlem gerçekleştirilirken İlgili Kullanıcı’nın aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.
Belirtilen Silme yöntemleri, KVK Düzenlemeleri’ne bağlı olup ilgili durumlarda güncellenmesi Şirket’in sorumluluğundadır.
7.2. Kişisel Veri’lerin Yok Edilme Yöntemleri
Kişisel Veri’lerin yok edilmesi, Kişisel Veri’lerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, Kişisel Veri’lerin yok edilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Şirket, Kişisel Veri’leri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:
a. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.
b. Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.
c. Çevresel Sistemler
Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan ve Kişisel Veri’leri barındıran, mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken yok etme işlemidir. Bu tip yok etme işlemlerinin, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.
d. Kağıt ve Mikrofis Ortamları
Söz konusu ortamlardaki Kişisel Veri’ler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortam yok edilir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan Kişisel Veri’ler ise bulundukları elektronik ortama göre yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
8.1. Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama ve İmha sürelerini dolduran fiziksel ve dijital ortamda bulunan Kişisel Veriler, periyodik olarak İmha edilir. Şirket, Kişisel Veri’leri İmha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik İmha işleminde, Kişisel Veri’leri İmha eder. Periyodik İmha, tüm Kişisel Veri’ler için 1 (bir) yıl zaman aralıklarında gerçekleştirilir. Anılan süre, her hal ve koşulda Yönetmelik’in 11. maddesinde belirtilen azami periyodik imha süresini aşmamaktadır.
Periyodik İmha sırasında baz alınacak yasal saklama ve İmha süreleri, Veri Envanteri’nde ve işbu Politika’ya ek ve saklama sürelerini gösterir Ek-1’de (Saklama ve İmha Süreleri Tablosu) belirlenmiştir. Şirket, KVK Düzenlemeleri kapsamında Kurul’un süreleri kısaltması durumunda, yeni sürelere uyum sağlayacağını taahhüt eder.
İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır. Şirket’in diğer hukuki yükümlülüklerden kaynaklanan Kişisel Veri saklama hakları saklıdır.
8.2. İlgili Kişi’lerin Talep Etmesi Durumunda Silme ve Yok Etme Süreci
İlgili Kişi’nin, Şirket’e başvurarak kendisine ait Kişisel Veri’lerin İmha edilmesini talep etmesi halinde Şirket:
(a) Kişisel Verilerin İşlenmesi şartlarının tamamı ortadan kalkmışsa:
(i) İlgili Kişi’nin talebini en geç 30 (otuz) gün içinde sonuçlandırır ve İlgili Kişi’ye bilgi verir, ve
(ii) talebe konu olan Kişisel Veri’ler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
(b) Kişisel Verilerin İşlenmesi şartlarının tamamı ortadan kalkmamışsa, İlgili Kişi’nin talebini KVKK’nın 13. maddesinin (3) numaralı fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını İlgili Kişi’ye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirir.
Şirket, Kişisel Veri’lerin saklanması ve İmha edilmesi süreçlerinde yer alan kişileri, KVK Düzenlemeleri ve Kişisel Veri’lerin hukuka uygun olarak işlenmesi konusunda bilgilendirmekte ve eğitmektedir. Bu kapsamda, Şirket çalışanları ve görevleri dolayısıyla Kişisel Veri’leri öğrenen kişiler, bahse konu bilgileri KVK Düzenlemeleri’ne uygun olarak saklamakta ve İmha etmektedir. Bu yükümlülük, söz konusu kişilerin görevden ayrılmalarından sonra da devam etmektedir.
Bu kapsamda, Şirket’in saklama ve İmha süreçlerinde yer alan kişilere ilişkin detaylar aşağıda açıklanmaktadır:
Birim | Görev | |
10.1. KVK Düzenlemeleri’nde yapılacak her türlü resmi değişiklik uyarınca veya Şirket tarafından işbu Politika zaman zaman [Yönetim Kurulu] onayı ile değiştirilebilir. KVK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.
10.2. Şirket, güncel Politika versiyonunu e-posta yolu ile çalışanlarıyla paylaşacak ve/veya kurumsal intranet üzerinden çalışanlarının erişimine sunacaktır.
Politika’nın işbu versiyonu, bu versiyonu 25/10/2019 tarihinde Şirket [Yönetim Kurulu] tarafından onaylanarak yürürlüğe girmiştir.
EK 1 - Saklama ve İmha Süreleri Tablosu
Veri Kategorisi | Departman | İlgili İş Süreci | Saklama Süresi |
|
|
|
|
|
|
|
|