İmha Politikası
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI
1. AMAÇ VE KAPSAM
İşbu saklama ve imha politikasının amacı, kişisel verinin güvenli bir şekilde ve daha da önemlisi 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanuna ve ilgili yönetmeliğe vs. de uygun bir şekilde saklanması ve gerekli hallerde işbu kişisel verinin imha edilmesine dair olan sürecin tanımlanmasıdır.
İşbu politika; özel nitelikte kişisel veriler dahil olmak üzere tüm kişisel verileri ve bunlarla ilgili tüm süreçleri içermekle birlikte ayrıca kişisel verilerin saklanması ve imhası sürecindeki aktörleri daha kapsayıcı bir ifade ile Şirket’in tüm bu konularda hukuki ilişkiye girdiği gerçek ve tüzel kişileri de kapsam içine almaktadır.
2. TANIMLAR
Kanun: 6698 sayılı "Kişisel Verilerin Korunması Kanunu” nu ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bir kişinin belirli veya belirlenebilir olması demek söz konusu mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilip ilişkilendirilmemesi ile anlaşılmaktadır.
Özel nitelikte kişisel veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve ne şekilde işleneceğini belirleyen, veri kayıt sisteminin kurulmasından yönetilmesine kadar tüm süreci yürüten ve süreçten sorumlu olan gerçek veya tüzel kişiyi ifade eder.
KişiselVeriİşlemeEnvanteri:Veri sorumlularının yürütmüş oldukları kişisel verileri işleme/saklama faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubu şeklinde olmak üzere sınıflandırmak suretiyle ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan saklamaya dair azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tüm tedbirleri açıklayarak detaylandırmış oldukları envanterdir.
İmha:Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini kapsamaktadır.
Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için verilerin saklanmasına ilişkin gerekli olan azami süreyi belirlediği vesilme, yok etme ve anonim hale getirme işlemi için esas aldıkları politikadır.
Kişisel Verilerin Silinmesi:Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
Kişisel Verilerin Yok Edilmesi:Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilmesi hali dahi, hiçbir şekilde kimliğibelirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtildiği şekilde düzenli aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirmesi işlemidir.
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.
Kayıt ortamı: Otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade etmektedir.
3. KİŞİSEL VERİLERİN İMHASI
Kişisel verilerin imhası ile kastedilen kişisel verilerin silinmesi, yok edilmesi veyahut anonim hale getirilmesidir. Yani kişisel veri imha edilecek ise ya silinir, ya yok edilir ya anonim hale getirilir ve bu şekilde ilgili kişisel veri imha edilmiş olmaktadır. Bu kapsamda aşağıda belirtilen hallerden biri gerçekleştiğinde kişisel veriler silinir, yok edilir veya anonim hale getirilir yani kişisel veri imha edilir. Bu haller;
1- Kişisel verilerin işlenmesindeki amaç unsurunun ortadan kalkması,
2- Kişi /kurum tarafından verilen açık rızanın geri alınmış olması /ortadan kalkması
3- Kanunun 5. ve 6. Maddelerindeki kişisel verilerin işlenme koşullarının tamamının ortadan kalkması
4- Yine aynı şekilde Kanunun 5. ve 6. Maddelerinde yer alan istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması hali.
Bu sayılan hallerden birinin gerçekleşmesi sonucu işlenme koşulları ortadan kalkan kişisel veriler, veri sorumlusu bünyesindeki ilgili birim tarafından, gerekli tüm ihtiyaçlar da dikkate alınarak, Yönetmeliğin Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesine dair ilgili maddeleri kapsamında, uygulanacak olan yöntemin gerekçesi de açıklanarak silinir, yok edilir veyahut anonim hale getirilir.
Böyle olmakla birlikte kesinleşmiş bir mahkeme kararı var ise mahkeme kararı ile hükmedilen imha yönteminin uygulanması ise mecburidir.
Verilerin İmhası ile kastedilen bir diğer husus da veriler imha edilecek derken ne gibi işlemler yapılacağı yani nasıl bir imha sürecinin yaşanacağı ise şu şekilde izah edilebilir: Bilgi kayıt özelliği olan her türlü cihazın üzerindeki bilgiler yetkisiz erişime karşı silinir ve ardından cihaz üzerindeki disk ve kayıt mekanizması da başka müdahalelere karşın fiziksel olarak tahrip edilir. Ortam/Cihaz İmha Tutanağı tutulur ve bu tutanak bilgi sistemleri operatörü tarafından doldurulur ve imzalanır. Tarih, cihaz bilgisi, imha sebebi vb. bilgiler de girilmesi suretiyle imha işlemi kayıt altına alınır ve imha süreci bu şekilde sonuçlandırılmış olmaktadır.
Bahsettiğimiz üzere verilerin imhası ile kastedilen husus aslında verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. İLK OLARAK verilerin silinmesinden bahsedecek olursak VERİLERİN SİLİNMESİ YÖNTEMLERİ verinin ne tür bir veri olduğu yani verinin veri sorumlusu bünyesindeki sistem içerisinde bulunduğu konuma göre değişiklik göstermekte olup buna göre ilgili verinin nasıl silineceği somut olaya göre farklılıklar göstermektedir. BU YÖNTEMLER ŞUNLARDIR:
4 kategoride ele alınabilir:
1. KÂĞIT ORTAMINDA BULUNAN KİŞİSEL VERİLER: Kağıt öğütücü ile imha edilir ya da bazı durumlarda ise karartma yöntemi kullanılmak suretiyle de silinmektedir.
2. MERKEZİ SUNUCUDA YER ALAN OFİS DOSYALARI: İşletim sistemindeki silme komutu ile silinmektedir.
3. TAŞINABİLİR MEDYADA BULUNAN VERİLER: Aynı şekilde merkezi sunucuda olduğu gibi işletim sistemindeki silme komutu ile silinmektedir.
4. VERİ TABANLARI: Verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinmektedir.
İkinci imha şekli olan Verinin Yok Edilmesi Yöntemleri de verilerin silinmesi yönetiminde olduğu gibi verinin ait olduğu ortama / türüne göre imha ediliş ( yok ediliş ) yöntemi değişiklik arz etmekte olup her somut olaya göre uygulanışı değişmektedir. VERİLERİN YOK EDİLME YÖNTEMLERİ ŞÖYLEDİR:
3 kategoride ele alınabilir: Yerel sistemler, Çevresel Sistemler ve Basılı Ortamlar.
1- YEREL SİSTEMLERDE: De-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden herhangi biri kullanılmak suretiyle yok edilmektedir.
2- ÇEVRESEL SİSTEMLERDE:
A- AĞ CİHAZLARI: Yerel sistemlerdeki verilerin yok ediliş yöntemlerinden uygun olanı tercih edilerek yok edilir.
B- FLASH TABANLI ORTAMLAR: İlgili üreticinin önerdiği yöntemler veyahut yerel sistemlerdeki verilerin yok ediliş yöntemlerinden uygun olanı tercih edilerek yok edilir.
C- MANYETİK BANT: De-manyetize ederek veyahut yakma - eritme gibi fiziksel yöntemlerle yok edilmektedir.
D-SİM KART VE SABİT HAFIZA KARTLARI: Yerel sistemlerdeki verilerin yok ediliş yöntemlerinden uygun olanı tercih edilerek yok edilir.
E-OPTİK DİSKLER: Yakma, küçük parçalara ayırma, eritme gibi fiziksel yöntemler kullanılmak suretiyleyok edilmektedir.
F- VERİ KAYIT ORTAMI SABİT OLAN ÇEVRE BİRİMLERİ: Yerel sistemlerdeki verilerin yok ediliş yöntemlerinden uygun olanı tercih edilerek yok edilir.
3. BASILI ORTAMLARDA: Kâğıt imha makineleri kullanılmak suretiyle veriler yok edilmektedir. Orijinal kâğıttan tarama yolu ile elektronik ortama aktarılan kişisel veriler ise bulundukları ortama göre uygun yöntemler kullanılarak yok edilmektedir.
Son olarak ÜÇÜNCÜ VERİLERİN İMHA EDİLİŞ ŞEKLİ OLARAK İSE Kişisel Verilerin Anonim Hale Getirilmesi suretiyle verilerin imhası olup Kişisel verilerin Anonim hale getirilmesinde, Kişisel Verileri Koruma Kurumu’nun yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’nde yer alan Kişisel Verilerin anonim hale getirilmesi yöntemlerinden somut olaya göre uygun olanı tercih edilerek ilgili veriler imha edilebilecektir.
Veri sorumlusu tarafından düzenli olarak yapılan sistem içi denetimler neticesinde veya rastgele belli bir zamanda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiği takdirde; ilgili kullanıcı veyahut veri sahibi, ilgili kişisel verinin işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesini isteyebilecektir. Veri işleme şartlarının ortadan kalkmış olup olmadığı hususunda tereddüt duyulması halinde buna ilişkin nihai kararı verecek olan birim/yer ilgili veri sorumlusu iş birimidir. Bu birime danışılarak karar verilip ona göre işlem yapılacaktır.
Verilerin imha edilmesi hususunda ne kadar süre verinin saklanacağı yani ne kadar süre sonra verinin imha edileceği konusunda ise Devlet Arşivleri Genel Müdürlüğünün yayınladığı saklama sürelerini belirten yönetmelik esas alınacaktır. Bu kapsamda birim/kurum arşivinde veya Devlet Arşivlerinde geçen süreler dolduktan sonra imha edilmesinde sakınca olmayan veriler imha edilebilecektir.
Veri Sahibinin talebi ile de Kişisel Verilerin İmhası gerçekleşebilecektir. Kişisel verinin sahibi gerçek kişi, "Kişisel Veri Sahibi Başvuru Formu” ile birlikte başvurusunu yaparak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep edebilir. Bu talebin başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılması/cevaplandırılması gerekmektedir. Kişisel verilerin silinmesi / yok edilmesi / anonim hale getirilmesine yönelik talepler ancak ilgili kişinin kimlik tespitinin yapılması koşuluyla işleme alınacaktır. Bu hususta Şirketimiz, güvenlik amacıyla başvurucunun kimliğinin tespitine dair ek olarak başka işlemlerin de yapılmasını isteme hakkına her zaman sahiptir. Başvuru yapan kişisel veri sahibine başvuru formunda belirtmiş olduğu yöntem aracılığıyla bilgi / cevap verilmektedir. Yasal zorunluluk nedeniyle verileri saklama koşulları kalkmadıysa yani verileri saklama yükümlülüğü devam ediyor ise; başvuruya konu kişisel verilerinin silinemeyeceği veri sahibine iletilir. Kişisel verileri işleme / saklama şartlarının tamamının ortadan kalkıp kalkmadığını inceleyecek olan yer / birim; ilgili verinin işlendiği / saklandığı veri sorumlusu nezdindeki ilgili birimdir. Şartların ( Veri Saklama ) tamamı ortadan kalkmışsa; veri sorumlusunun talebe / başvuruya konu kişisel verileri en geç üç ay içerisinde silmesi, yok etmesi veya anonim hale getirmesi gerekmektedir.
Ayrıca bu konuda belirtmek gerekir ki; kişisel verileri saklama koşulları tamamen ortadan kalkmış olması halinde başvuruya konu kişisel veriler daha önceden üçüncü kişilerle paylaşılmış ise böyle bir durumda söz konusu kişisel veriyi saklayan veri sorumlusu birimi, bu durumu derhal daha önceden paylaşım yaptığı üçüncü kişiye bildirmesi gerekmektedir ve üçüncü kişi nezdinde ilgili Yönetmelik uyarınca gerekli işlemlerin de yapılmasını sağlaması gerekmektedir.
4. KİŞİSEL VERİLERİN PERİYODİK GÖZDEN GEÇİRİLMESİ VE KİŞİSEL VERİLERİN SAKLANMASI
Kişisel veriyi işleyen / saklayan tüm kişi ve / veya kurumların verilerin işlenmesiyle ilgili veri işleme ve saklama koşullarının devam edip etmediğini yani şartların ortadan kalkıp kalkmadığını en geç altı aylık periyotlar olmak üzere düzenli aralıklarla kontrol etmeleri yani mevcut veri kayıt ortamlarında bu durumu düzenli olarak gözden geçirmeleri gerekmektedir.
Böyle olmakla birlikte kişisel veri sahibinin başvurusu veya mahkeme kararı olması halinde ise veri sorumlusu, düzenli denetleme süresine bakmaksızın ve periyodik kontrol zamanını beklemeksizin söz konusu veriyle ilgili veri kayıt ortamlarında gerekli gözden geçirmeyi yapacaktır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan tüm bu işlemler ve süreç kayıt altına alınacak olup ve söz konusu bu kayıtların diğer hukuki yükümlülükler saklı kalmak üzere en az üç yıl süreyle saklanması gerekmektedir.
Ayrıca bu şekilde kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde; Kanunda yer alan alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve Mahkeme Kararlarına da uygun hareket edilmesi lazım gelmektedir.
Kişisel Verilerin Saklanması Hususunda; Kişisel verilerin işlenme süreleri önem arz etmektedir. Buna dair kişisel verilerin hangi süreyle ne kadar saklanacağı Veri Sorumlusunun Kişisel Veri İşleme Envanteri’nde belirtilmiştir.
Düzenli imha ya da istek üzerine yapılacak olan imha işlemlerinde de yine aynı şekilde söz konusu saklama ve imha süreleri dikkate alınacaktır. Saklama ve imha süreleri yasal bir zorunluluk olmadığı sürece veri sahibinin talebi üzerine şekillenmekte ve değişkenlik göstermektedir.
Kişisel veri güvenliğinin sağlanması hususunda Şirketimizce gerekli tüm tedbirler de alınmıştır. Bu doğrultuda kişisel veri içeren kâğıt ortamındaki evraklar, CD, DVD ve USB gibi cihazlar kullanılmadığı zamanlarda kilitli tutulacak, sadece yetkili personel erişebilecek, herkesin kullanıma açık olmayacak ve özellikle ilgili verinin bulunduğu ortama giriş - çıkışlar kamera ile izlenecek olup buna benzer tüm fiziksel güvenliğe ilişkin tüm önlemler ve tedbirler alınmıştır.
Dijital/elektronik ortamda tutulan kişisel verilerin için ise; elektronik ortamda ve sistem odasında gerekli tüm güvenlik önlemlerinin alınması suretiyle güvenli bir şekilde bu veriler de saklanmaktadır.
Kişisel Verilerin Kontrolü konusunda kişisel verilerle ilgili dokümanlar ve belgelerde ihtiyaç duyulması halinde gerekli revizeler yapılabileceği gibi yılda bir kez olmak üzere periyodik ve düzenli olarak da bu evraklar kontrol edilmektedir.
Son olarak belirtmek gerekir ki; şirketimiz,ilgili mevzuatlarda yapılacak değişiklikler nedeniyle, ilgili kişi ve kurumların kararları uyarınca ya da sektördeki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını her zaman saklı tutmaktadır. İşbu Kişisel Veri Saklama ve İmha Politikasında yapılacak olan değişiklikler derhal metne işlenecek ve değişikliklere dair gerekli açıklamalar da ayrıca ilan edilecektir.