Kişisel Verilerin Korunması Kanunu

1- POLİTİKANIN AMACI  VE KAPSAMI

Mevzuatta veri sorumlusu tarafından hazırlanması gerektiği de belirtilen İş bu politika ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş. işlediği kişisel verilerin tamamına ilişkin saklama ve imha faaliyetlerini ayrıntılı şekilde açıklamak ve bu iş ve işlemler konusunda usul ve esasları belirlemek ve amacıyla hazırlanmıştır.

Firmamıza ait kişisel veri işleme ve koruma politikasında kişisel verileri işlendiği belirtilen ve VERBİS kaydında da kamuoyu ile paylaşılan veri sahibi kategorilerine ait kişisel veriler bu Politika kapsamında olup firmamıza ait kayıt ortamlarında bulunan tüm kişisel verilere ilişkin saklama ve imha süreçlerinde bu Politika uygulanacaktır.

Firma yetkili ve çalışanlarının da bu hususta farkındalığı artırılarak gerekli eğitimleri alması sağlanmıştır.

    İşbu Politika’nın ilgili maddeleri mevzuatta belirtilen emredici hususlara aykırılık teşkil etmediği sürece özel nitelikli kişisel veriler hakkında da uygulanacaktır. Özel nitelikli kişisel veriler ile ilgili ilave olarak uyulması gereken hususlar ayrıca da belirtilmiştir.

İş bu politikada belirtilen hususlar ile ilgili yeni bir mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, firmamız  politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır. Ancak herhangi bir güncelleme yapılmasa dahi  maddeler güncellenen mevzuat hükümlerine uygun şekilde yorumlanacak ve uygulanacaktır.

  • – TANIMLAR

 

Alıcı Grubu:

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale Getirme:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Elektronik Ortam:

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam:

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı:

Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kişi:

Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı:

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun:

6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul:

Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika:

Kişisel Verileri Saklama ve İmha Politikası

Veri İşleyen:

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi(VERBİS):

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Yönetmelik:

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

3 - SAKLAMA -KAYIT ORTAMLARI

  • Sunucular (Yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
  • Yazılımlar (Netsis , ofis yazılımları,
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.
  • Bilgisayarlar (Masaüstü, dizüstü)
  • Bulut sistemi
  • Mobil cihazlar (telefon, tablet vb.)
  • Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri, Optik diskler (CD, DVD vb.)
  • Güvenlik Kamera kayıtları
  • Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi, faks cihazı, telefon hafıza kayıtları
  • Manuel veri kayıt ortamları/Kağıt ortamı (Her türlü form, sözleşme , fotokopi, anket formları, ziyaretçi giriş defteri, şikayet/talep yazıları gibi)
  • Ve diğer Yazılı, basılı, görsel ortamlar

 

4 - SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Firmamız  faaliyetleri çerçevesinde işlenen kişisel verilerin saklama süreleri her şeyden önce ilgili veri ve işleme amacına göre belirlenecek  ilgili mevzuatta belirtilen saklama süreleri ve olası uyuşmazlıklar ile ilgili zamanaşımı süreleri  dikkate alınarak belirlenmektedir.

Bu kapsamda firmamız tarafından işlenen kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • 6098 sayılı Türk Borçlar Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
  • 4857 sayılı İş Kanunu
  • 5237 sayılı Türk Ceza Kanunu
  • 213 sayılı Vergi Usul Kanunu
  • 6102 sayılı Türk Ticaret Kanunu
  • 2004 sayılı İcra ve İflas Kanunu
  • 4734 sayılı Kamu İhale Kanunu

İle bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri ve olası uyuşmazlıklar ile ilgili uygulanacak zamanaşımı süreleri dikkate alınarak saklanmaktadır.

  • - SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Firmamız faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri  , “Kişisel Verileri İşleme ve Koruma Politikası”nda belirtilen amaçlar dahilinde ve özellikle de aşağıdaki amaçlar doğrultusunda saklar.

  • Denetim/etik faaliyetlerinin yerine getirilmesi
  • Firma faaliyetlerinin hukuka uygun şekilde yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
  • İnsan kaynakları süreçlerini yürütmek
  • Kurumsal iletişimi sağlamak
  • Firmaya ait ticari /idari ve hukuki işlemlere dair firma güvenliğini sağlamak
  • İstatistiksel çalışmalar yapabilmek
  • Sözleşme süreçlerinin takibi
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
  • Yetkili kişi kurum ve kuruluşlara bilgi verilmesi
  • Hukuk İşlerinin Takibi Ve Yürütülmesi
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünün yerine getirilebilmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • Firmamız ile herhangi bir şekilde hukuki /idari /ticari ilişkide bulunan gerçek / tüzel kişilerle irtibat sağlamak
  • Kurumsal hafızayı korumak

 

6 -  KİŞİSEL VERİLERİN İMHASINI GEREKTİREN DURUMLAR

Firmamız adına veri işleme faaliyetini yürütenler veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar da mevcut olmadığı sürece  aşağıda listelenen ve mevzuata belirtilen diğer ilgili durumlarda veri işlenme şartlarının ortadan kalktığı kabul edilir:

  1. a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
  2. b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  3. c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  4. d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
  5. e) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  6. f) İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun veri sorumlusu tarafından kabulü,
  7. g) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  8. h) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

  7 - KİŞİSEL VERİLERİN İMHASI

Kişisel verilerin imhası, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Veri Sorumlusu ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır. .

  1. Kişisel Verilerin Silinmesi; Söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
  2. Kişisel Verilerin Yok Edilmesi; Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez , geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
  3. Kişisel Verilerin Anonimleştirilmesi: Anonim hale getirme işlemi ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş’nin kişisel verileri tamamen veya kısmen otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonimleştirilmesi ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş içerisindeki veriyi işleyen kişi ya da birimin görevidir. Veri işleyen  iş birimi, verilerin yok edilmesi için denetimi kendisi tarafından yapılmak ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş farklı departmanlarından destek alabilir.
  • - KİŞİSEL VERİLERİN İMHA SÜRECİ VE YÖNTEMLERİ

8.3.1 Kişisel Verilerin Silinme Süreç Ve Yöntemleri

Kişisel verilerin silinmesi işleminde izlenecek süreç aşağıdaki gibidir ;

  • Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi
  • Erişim Yetki ve kontrol metrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi
  • İlgili kullanıcıların erişim , geri getirme , tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi
  • İlgili kullanıcıların kişisel veriler kapsamındaki erişim , geri getirme , tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması

             Firmamızda  işlenen kişisel veriler çeşitli kayıt ortamlarında saklandığı için kayıt ortamlarına uygun yöntemler ile de silinmektedir. Bu çerçevede ;

  1. Karartma

Kağıt ortamında bulunan kişisel veriler karartma yöntemi ile silinmektedir. Bu işlem yapılırken ilgili evrak üzerindeki kişisel veriler mümkün olan durumlarda kesilmek mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmektedir. 

  1. Merkezi Sunucuda Yer Alan Ofis Dosyalarının Silinmesi

Kişisel verinin bulunduğu dosyanın işletim sistemindeki silme komutu ile silinmekte veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Bu işlemler yapılırken ilgili kullanıcının aynı zamanda sistem yöneticisi olmamasına da dikkat edilmektedir.

  1. Taşınabilir Medyada Bulunan Kişisel Verilerin Silinmesi

Flash tabanlı saklama ortamlarındaki kişisel veriler şifreli olarak saklanmakta ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.

  1. Veri Tabanları

Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinmektedir.  Bu işlemler yapılırken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmamasına da dikkat edilmektedir.

8.3.2.Kişisel Verilerin Yok Edilmesi Süreç Ve Yöntemleri

         Bu imha yöntemi seçildiğinde verilerin bulunduğu tüm kopyalar tespit edilmekte ve verilerin bulunduğu veri kayıt ortamının/sisteminin türüne göre aşağıda belirtilen yöntemlerden bir veya birkaçı kullanılarak yok etme işlemi gerçekleştirilmektedir; 

  1. Yerel Sistemler Üzerindeki Verilerin Yok Edilmesi
    1. Fiziksel Yok etme : Optik Medya ve manyetik medyanın eritilmesi , yakılması veya toz haline getirilmesi gibi fiziksel olarak yok etme işlemi gerçekleştirilmektedir. Optik veya manyetik medyayı eritmek , yakmak , toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanmaktadır. Katı hal diskler bakımından da disk üzerine yazma veya de-manyetize etme işlemi başarılı olmadığı takdirde yine burada belirtilen fiziki yok etme yöntemlerinden biri seçilmektedir.

 

  1. Çevresel Sistemler Üzerindeki Verilerin Yok Edilmesi
    1. Ağ Cihazları (switch , router vb.) : Söz konusu cihazların içindeki saklama ortamları sabit olduğu için yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle ağ cihazları üzerindeki veriler yok edilebilmektedir.
    2. Flash Tabanlı Ortamlar : Flash tabanlı sabit disklerin ATA (SATA, PATA vb.)SCSI (SCSI ekpress vb.) arayüzüne sahip olanları , destekleniyorsa <block erase> komutunu kullanmak , desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.
  • Manyetik bant / Manyetik disk gibi üniteler: Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma , eritme gibi fiziksel yok etme yöntemleriyle veriler yok edilmektedir.
  1. Mobil Telefonlar (Sim Kart ve sabit hafıza alanları) : Söz konusu cihazların içindeki saklama ortamları sabit olduğu için yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.
  2. Optik Diskler(CD , DVD vs.) : Yakma , küçük parçalara ayırma , eritme gibi fiziksel yok etme yöntemleri ile yok edilmektedir.
  3. Veri Kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri; Tüm veri kayıt ortamlarının söküldüğü doğrulandıktan sonra özelliğine göre yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.
  • Veri Kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri; yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.

 

  1. Kağıt Ve Mikrofiş Ortamlardaki Verilerin Yok Edilmesi
    1. Kişisel verinin bulunduğu kağıt ve/veya mikrofiş kağıt imha veya kırpma makineleri ile anlaşılmaz boyutta yatay ve dikey olarak geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilmektedir.
    2. Orijinal kağıt formattan , tarama yoluyla elektronik ortama aktarılan kişisel veriler bulundukları elektronik ortama göre yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.

 

 

  1. Arızalanan Ya Da Bakıma Gönderilen Cihazlarda Yer Alan Kişisel Verilerin Yok Edilmesi
    1. İlgili cihazların bakım , onarım işlemi için üretici , satıcı , servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel veriler yerel sistemler üzerinde bulunan verilerin yok edilmesi için kullanılan yöntemlerin bir veya bir kaçı kullanılmak suretiyle veriler yok edilebilmektedir.
    2. Yok etmenin mümkün ya da uygun olmadığı durumlarda , veri saklama ortamı sökülerek saklanmakta arızalı diğer parçalar üretici , satıcı , servis gibi üçüncü kişilere gönderilmektedir.
  • Dışarıdan bakım , onarım gibi amaçlarla gelen personelin kişisel verileri kopyalayarak Firma dışına çıkartmasının engellenmesi için gerekli önlemler alınmaktadır.

 

  • Kişisel Verilerin Anonim Hale Getirilmesi Süreç Ve Yöntemleri

Anonim hale getirme , bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek , ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup /kalabalık içinde ayırt edilebilir olma özelliğini ,bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.

  1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
    1. Değişkenleri Çıkartma

Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılması işlemidir. Değişkenin yüksek dereceli bir tanımlayıcı olması , daha uygun bir çözümün var olmaması , değişkenin kamuya ifşa edilemeyecek kadar hassas olması veya analitik amaçlara hizmet etmiyor olması gibi durumlarda bu yöntem uygulanacaktır.

  1. Kayıtları Çıkartma

Veri kümesinde yer alan teklilik ihtiva eden(diğer kayıtlar ile ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği nitelikteki ) bir satırın çıkartılması suretiyle veri kümesine dair varsayımlar üretebilme ihtimali düşürülür.

  • Bölgesel Gizleme

Veri kümesini daha güvenli hale getirip tahmin edilebilirlik riskini azaltacak şekilde belli bir kayda ait değerlerin oluşturduğu kombinasyon çok az görülebilir bir durum meydana getiriyorsa ve bu durum o kişinin ilgili toplululukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu oluşturan değer “bilinmiyor” olarak değiştirilecektir.

  1. Genelleştirme

İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirmek suretiyle elde edilen yeni değerler içinde gerçek kişiye erişilmesi  imkansız hale getirilmektedir.

  1. Alt ve Üst Sınır Kodlama

Belli bir değişken için bir kategori tanımlayarak bu kategorinin oluşturduğu gruplama içinde kalan değerleri birleştirmek suretiyle anonimleştirme gerçekleştirilmektedir. 

  1. Global Kodlama

Alt ve Üst Sınır Kodlamanın uygulanması mümkün olmayan , sayısal veriler içermeyen veya numerik olarak sıralanmayan değerlere sahip veri kümelerinde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi engelleyecek şekilde ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilmektedir.

  • Örnekleme

Veri kümesinin bütünü değil kümeden alınan bir alt küme açıklanır veya paylaşılır.

  1. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
    1. Mikro birleştirme

Veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değerinin de değişmemesi sağlanmaktadır. 

  1. Veri Değiş Tokuşu

Kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu şekilde değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirmek suretiyle veri tabanı dönüştürülmektedir

  • Gürültü Ekleme

Seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılır

  1. Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler
    1. K-Anonimlik

Bir veri kümesindeki belirli alanlarla birden fazla kişinin tanımlanmasını sağlayarak belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engellemek amacıyla bir veri kümesindeki değişkenlerden bazılarının bir araya getirilmesiyle oluşan kombinasyonlara ait birden fazla kayıt bulunması halinde bu kombinasyona denk gelen kişilerin kimliklerinin saptanabilme olasılığının azaltılmasıdır. Bunun için de tekillik oluşturabilecek değişkenlere dair çeşitlilik sağlanmaktadır. Bunun için de verilerin bir bölümü kaldırılabilir veya bir bölümü ortak bir değer ile değiştirilebilir.

  1. L-Çeşitlilik

K Anonimlik yönteminin kullanılması halinde ortaya çıkabilecek risklerin azaltılması için ve hassas verilerde çeşitlilik düzeyini tanımlamak için kullanılan bu yöntem ile  her bir veri grubunun içinde belli bir çeşitlilik oluşturulmasına dikkat edilmekte ve maskeleme yöntemi ile anonimleştirme işlemi kuvvetlendirilerek dış bilgiye sahip kullanıcıların tahmin gücü azaltılmaktadır.

  • T-Yakınlık

Kişisel verilerin, diğerlerinin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayırılarak anonim hale getirilmesidir.

Şayet firmamız tarafından işlenen bir verinin anonim hale getirilmesine karar verilmiş ise anonim hale getirme yöntemi seçilirken yukarıda belirtilen yöntemlerden hangilerinin uygulanacağına imhaya konu verinin niteliğine bakılarak karar verilmektedir. Ayrıca anonim hale getirme yöntemleri uygulanırken sahip olunan veri kümesine dair aşağıdaki özellikler de dikkate alınmaktadır:

  • Verinin niteliği
  • Verinin büyüklüğü
  • Verinin fiziki ortamlarda bulunma yapısı
  • Verinin çeşitliliği
  • Veriden sağlanmak istenen fayda/işleme amacı
  • Verinin işlenme sıkılığı
  • Verinin aktarılacağı tarafın güvenilirliği
  • Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması
  • Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı
  • Verinin dağıtıklık/merkezlik oranı
  • Kullanıcıların ilgili veriye erişim yetki kontrolü
  • Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali

Anonim hale getirilen bir verinin aktarıldığı kişi ,kurum ve kuruluş varsa bunların bünyesinde olduğu bilinen bilgiler ya da kamuya açık bilgilerin kullanılması ile yeniden bir kişiyi tanımlar nitelikte olup olmadığı konusunda da gerekli risk analizleri ve kontroller yapılmaktadır.

        Bir kişisel verinin silinmesi ya da yok edilmesi yerine anonim hale getirilmesine karar verilmesi halinde  aşağıdaki risklerin ortaya çıkmaması  konusunda gerekli özen ve hassasiyet gösterilmekte , değişkenler dikkate alınarak kontroller yapılmakta  ve anonimliğin korunduğundan emin olunmaktadır ;

  • Anonim hale getirilmiş veri kümesinin bir başka veri kümesiyle birleştirilerek anonimliğin
  • bozulmaması
  • Bir ya da birden fazla değerin bir kaydı tekil hale getirebilecek şekilde anlamlı bir bütün oluşturamaması
  • Anonim hale getirilmiş veri kümesindeki değerlerin birleşip bir varsayım veya sonuç üretebilir hale gelmemesi

Bu kapsamda, anonim hale getirilmiş kişisel verilerin çeşitli müdahalelerle tersine döndürülmesi ve anonim hale getirilmiş verinin yeniden kimliği tespit edici ve gerçek kişileri ayırt edici hale dönüşmesi riski olup olmadığı araştırılarak ona göre işlem tesis edilmelidir.

 

9- KİŞİSEL VERİLERİN SAKLANMASINA İLİŞKİN ALINAN İDARİ VE TEKNİK TEDBİRLER

İşlenen ve saklanan kişisel verilerin hukuka aykırı olarak işlenmesi engellemek, verilere hukuka aykırı şekilde erişimi önlemek, verileri güvenli şekilde muhafaza etmek amacıyla ilgili mevzuatta öngörülen tüm idari ve teknik tedbirleri almakta, uygun güvenlik düzeyinin sağlanması ve Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapma ve yaptırmaktadır.

9.1. İdari Tedbirler

Firmamız, uhdesinde bulunan kişisel verilerin güvenliği ve muhafazası için aşağıda belirtilen idari tedbirleri almaktadır:

  1. Kişisel Veri işleme Envanteri hazırlanmıştır.
  2. Veri İşleme, Erişim, Bilgi Güvenliği, Kullanım, Saklama, İmha, Veri Sahibinden gelebilecek başvuralar ile ilgili süreç yönetimi gibi hususlara dair kurumsal politikalar oluşturulmuştur.
  3. İşlenen kişisel verilerin özel nitelikli kişisel veri olup olmadığı, gizlilik seviyesi, olası zararın niteliği ve niceliği belirlenmek suretiyle mevcut risk ve tehditler belirlenmek suretiyle belirlenen risklerin azaltılması veya ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri üretilerek kısa vadede alınabilecek tedbirler alınmış uzun vadede alınabilecek olanlar için de uygulamaya yönelik planlamalar yapılmıştır.  
  4. Firma çalışanları, kişisel verilerin işlenmesi konusunda bilgilendirilmekte, eğitilmektedir.
  5. Çalışanların ve yüklenicilerin bilgi güvenliği sorumluluklarının farkında olmaları ve yerine getirmelerini temin etmek üzere veri güvenliğine ilişkin rol ve sorumluluklar ile görev tanımları belirlenmiştir.
  6. Çalışanların kişisel veri güvenliğini zedeleyecek saldırılar ve siber güvenliğe ilişkin ilk müdahaleyi yapacak şekilde bilinçlenmeleri sağlanmıştır.
  7. Veri sorumlusunun çalışma sürecine ve işleyişine uygun politika ve prosedürler belirlenmiş olup bunlara uymaması durumunda devreye girecek bir disiplin süreci ve sözleşme hükümleri mevcuttur.
  8. Gizlilik taahhütnameleri yapılmaktadır.
  9. Çalışan, çalışan adayı, müşteri, tedarikçi, ziyaretçi vs. için aydınlatma metni mevcuttur.
  10. Açık rıza alınması gereken süreçler belirlenmiş ve uygulanmaktadır.
  11. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderilmekte, gerekli tedbirler alınmaktadır.
  12. İşleme amacı bakımından bahsi geçen kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.
  13. Bilgi teknolojileri ihtiyaçlarının karşılanması amacıyla çalışılan 3. Kişilerin de en az Firmamız tarafından sağlanan güvenlik tedbirlerini sağlamalarına önem verilmekte ve bu çerçevede sözleşmeler yapılmaktadır.
  14. Veri İşleyenlere mevzuata uygun hareket etmesi konusunda gerekli bilgilendirme ve uyarılar yapılmakta, kişisel verilerin korunması mevzuatı ile uyumlu hareket edileceğine dair hükümlerin de bulunduğu  yazılı sözleşmeler yapılmaktadır.
  15. 6698 sayılı Yasa öncesinde sözleşme yapılan ve hali hazırda sözleşme ilişkisinin devam ettiği kişilerle de KVKK uyum sürecinin tamamlanması için çalışmalar başlatılmıştır.
  16. Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmek üzere çalışanlar tarafında gerekli önlemler alınmaktadır.
  17. Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
  18. Görev değişikliği olan veya işten ayrılan personelin bu alandaki yetkileri derhal kaldırılmakta, kendisine tahsis edilen envanterler iade alınmaktadır. Pozisyon değişikliği birim değişikliği veya uzun süreli ya da tamamen işten ayrılma halinde personelin yetkileri askıya alınmakta ya da tamamen iptal edilmektedir. Yine kendilerine verilen token, elektronik kart ve diğer envanterler iade alınmaktadır.
  19. Mevzuat, kurul kararları ve politika hükümlerinin takibi ve uygulanması konusunda veri koruma sorumlu/sorumlular ataması yapılmıştır.

9.2. TEKNİK TEDBİRLER

Firmamız idari tedbirlerin yanında uhdesinde bulunan kişisel verilerin güvenliği ve muhafazası için aşağıda belirtilen teknik tedbirleri de almaktadır:

  1. Ağ güvenliği ve uygulama güvenliği (anti-virüs sistemleri ve Güvenlik duvarları kullanılmak sureti ile )sağlanmakta olup İzinsiz erişim tehditler/siber saldırılara karşı güvenlik duvarı ve uygulama güvenliği açısından da antivirüs gibi gerekli yazılımlar kullanılmakta, periyodik güncellenmesi ve denetimleri yapılmaktadır. Firmamıza ait her ofiste güvenlik duvarları da kurulmaktadır.
  2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  3. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  4. Erişim logları düzenli olarak tutulmakta ve güvenlik duvarındaki ve dosya sunucularındaki erişim günlükleri izlenmektedir.
  5. Erişim yetki ve kontrol matrisi oluşturulmuştur
  6. Gerektiğinde veri maskeleme önlemi uygulanmaktadır
  7. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. Firmamızda uygulanmakta olan İnsan Kaynakları el kitaplarında da kişisel veriler ile ilgili kontrol ve akış süreci çalışanlarımıza ayrıntısı ile izah edilmiştir.
  8. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır
  9. Kişisel veri güvenliğinin takibi yapılmaktadır
  10. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır
  11. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır
  12. Kişisel veri içeren ortamların güvenliği (7/24 Güvenlik hizmeti uygulaması ve CCTV uygulaması ile ) sağlanmaktadır.
  13. Kişisel veriler günlük olarak yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  14. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  15. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır
  16. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır
  17. Gerekli olması halinde özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  18. Gerekli olması halinde özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir
  19. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  20. Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır
  21. Sızma testi uygulanmaktadır.
  22. Siber güvenlik önlemleri alınmıştır.
  23. Şifreleme yapılmaktadır.
  24. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  25. Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamasına ilişkin takip, sınırlama vs. gibi güvenlik tedbirleri alınmaktadır.
  26. Veri kaybı önleme yazılımları kullanılmaktadır
  27. Kişisel verilere erişim yetkisi olanlara gerekli ölçüde erişim yetkisi tanınmış olup kullanıcı adı ile güçlü şifre kullanmak ve şifre girişi deneme sayısının sınırlandırılması suretiyle erişimleri sağlanmaktadır.
  28. Uluslararası şifreleme programlarının kullanımına dikkat edilmekte ve asimetrik Şifreleme yönteminin kullanıldığı durumlarda anahtar yönetimi süreçlerine önem verilmektedir.
  29. Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi 3. Kişilere gönderilecek cihazlarda bulunan kişisel veri saklama ortamları sökülerek saklanmakta veya kişisel verilerin kopyalanarak yetkisiz 3. Kişilere aktarılmasını engelleyecek önlemler alınmaktadır.
  30. Veri seti yedekleri ağ dışında tutulmakta, fiziki olarak da güvenliği sağlanmaktadır.
  31. Kişisel verilerin imha edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yapılmaktadır.
  32. İnternet kullanımı sağlanan kullanıcılara ait dahili IP adresleri ve sisteme girişte kullanılan cihazlara ait MAC adresleri de loglanmaktadır.

9.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN ALINAN TEDBİRLER

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

  1. Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte
  2. Gizlilik sözleşmelerinin yapılmakta
  3. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması yapılmakta
  4. Periyodik olarak yetki kontrolleri gerçekleştirilmekte
  5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta bu kapsamda, firmamız tarafından kendisine tahsis edilen envanterin iade alınması sağlanmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

  1. Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  2. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
  3. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  4. Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  5. Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması
  6. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi uygulanması

tedbirlerinden uygun olanlar belirlenerek yerine getirilmesi sağlanmaktadır.

 

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

  1. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmıştır.
  2. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmekte, özel nitelikli kişisel verilerin kağıt ortamında dosyalandığı durumlarda dosyalar kilitli dolaplarda tutulmaktadır.

 

Özel nitelikli kişisel veriler aktarılacaksa;

  1. Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
  2. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
  3. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
  4. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi

Sağlanmakta ve belirtilen bu hususlara uygun işlemler yapılmaktadır.

 

  • - SAKLAMA VE İMHA SÜRELERİ

 

  • Firmamız veri kategorisi ve işleme amacına dair ilgili kanunlarda ve mevzuatlarda süre öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklar.

 

  • Yine saklama ve imha sürelerinin belirlenmesinde her bir veri kategorisi ve veri işleme amacı dikkate alınarak ilgili mevzuatta belirtilen zamanaşımı süreleri de esas alınmaktadır.

 

  • Periyodik İmha ve Yasal Saklama Süreleri Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak ve iş bu politikada belirtilen uygun yöntem ve/veya yöntemler seçilmek sureti ile imha edilir. Firmamız Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

 

  • Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemler/tutanaklar diğer hukuki yükümlülüklere de uyulmak sureti ile  en az 3 yıl süre ile saklanır.

 

  • Veri sahiplerinin firmamıza  başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumu kontrol edilir.
    1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel veriler verinin saklanma yöntemine uygun olacak şekilde silinir , yok edilir veya anonim hale getirilir. Veri sahibinin talebi  en geç otuz gün içinde sonuçlandırır ve kendisine  bilgi verilir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa firmamız bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
    2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, ilgili veri sahibine gerekçesi açıklanarak talebinin reddedildiği  en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

  • Saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları aşağıda belirtilmiştir;

 

Sıra No

UNVAN

BİRİM

GÖREV TANIMI

1

Genel Müdür

Yönetim Kurulu

Çalışanların politikaya uygun hareket etmesinden sorumludur.

 

 

 

Politika’nın hazırlanması , güncellenmesi , yürütülmesi  , ilgili ortamlarda yayınlanmasından sorumludur

2

İnsan Kaynakları Müdürü

(Kişisel veri saklama ve imha politikası uygulama sorumlusu)

İnsan Kaynakları Müdürlüğü

Görev yaptığı birim dahilinde işlenen her türlü veri ile süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi ile çalışanların politikaya uygun hareket etmesini temin ve takip

3

Muhasebe Müdürü

(Kişisel veri saklama ve imha politikası uygulama sorumlusu)

Muhasebe Müdürlüğü

Görev yaptığı birim dahilinde işlenen her türlü veri ile süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

4

Finans Müdürü

(Kişisel veri saklama ve imha politikası uygulama sorumlusu)

Finans Müdürlüğü

Görev yaptığı birim dahilinde işlenen her türlü veri ile süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

5

Bilgi İşlem Sorumlusu

(Kişisel veri saklama ve imha politikası uygulama sorumlusu)

İnsan Kaynakları ve İdari İşler Müdürlüğü

Görev yaptığı birim dahilinde işlenen her türlü veri ile süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi ile iş bu politikada belirtilen imha yöntemlerinin belirlenmesi konusunda teknik çözüm sunma

 

 

Firmamız faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

-Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde

-Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta

-Süreç bazında saklama süreleri ise iş bu Kişisel Veri Saklama ve İmha Politikasında belirtilmiştir.

Belirlenen sürelerde veri işleme süreci içinde işlenen  kişisel verilerden en uzun süre saklanması gereken esas alınmaktadır. Bu süreler azami olup bu sürelerden önce de periyodik imha süreçlerinde yapılan değerlendirmelerde verinin saklanmasını gerektirecek yasal zorunluluk süresinin bittiği ve diğer saklama amaçlarının da ortadan kalktığının anlaşılması halinde belirtilen saklama süreleri öncesinde de imha gerçekleştirebilecektir. Bu nedenle saklama süreleri veriyi belirtilen süreler dahilinde saklama taahhüdü/yükümlülüğü  şeklinde yorumlanmayacaktır.

Sıra No

VERİ İŞLEME SÜRECİ

SAKLAMA SÜRESİ

1

Sözleşme Süreçleri

Akdi İlişkinin devamı süresince ve sonrasında 10 yıl

2

İhale süreçleri

Kesin Kabul süresine kadar ve sonrasında 10 yıl

3

İş Başvuru Süreçleri

2 yıl

4

İş Faaliyetlerinin Yürütülmesi /Denetimi

10 yıl

5

Fiziki Mekanların Güvenliğinin sağlanmasına dair kayıt işlemleri 

2 yıl

6

Çalışan/Stajyer  Özlük İşlemleri ve insan kaynakları işlemlerinin yürütülmesi 

Hizmet akdi devam ettiği sürece ve sonrasında 10 yıl

7

İş Sağlığı ve Güvenliğinin sağlanmasına dair İşlemler

Hizmet akdi devam ettiği sürece ve sonrasında 15 yıl

8

Finans ve Muhasebe  İşlemleri

Ticari /Hukuki ilişki devam ettiği sürece ve bitiminden itibaren 10 yıl

9

Çalışanların işe giriş çıkışlarının takibine dair işlemler

5 yıl

10

İnternet Erişimi takibi

2 yıl

11

Kişisel verilerin korunmasına ilişkin teknik ve idari tedbir faaliyetleri, Bilgi İşlem Güvenliği İşlemleri , Log kayıtları

10 yıl

12

Hukuki İşlemler

Hukuki işlem devam ettiği sürece ve bitiminden itibaren 10 yıl

13

Kurumsal İlişki ve İtibar Yönetimi Süreçleri

50 yıl

14

Acil durum-Risk  yönetimi süreçleri

10 yıl

15

Mal-hizmet alım-satım  süreçlerinin yürütülmesi, tedarik zinciri yönetimi süreçlerinin yürütülmesi

Ticari /Hukuki ilişki devam ettiği sürece ve bitiminden itibaren 10 yıl

16

Pazarlama /Yatırım Süreci

Ticari /Hukuki ilişki devam ettiği sürece ve bitiminden itibaren 10 yıl  

17

Görevlendirme/vekalet  Süreçleri

10 yıl

18

Sevkiyat/Planlama Süreci

Ticari /Hukuki ilişki devam ettiği sürece ve bitiminden itibaren 10 yıl

19

Satış Sonrası Hizmet Süreci

10 yıl

20

Müşteri Memnuniyet Ölçüm İşlemleri

Ticari /Hukuki ilişki devam ettiği sürece ve bitiminden itibaren 1 yıl

 

11 – POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

  1. İlgili mevzuatta yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş tarafından İşbu Politika’da değişiklik yapılabilir.
  2. ERKUT İNŞAAT YAPI ENDÜSTRİSİ SAN. VE TİC. A.Ş Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika’yı kurumsal internet üzerinden herkesin erişimine sunacaktır.

12 – POLİTİKA YÜRÜRLÜLÜK TARİHİ

İşbu Politika 21.02.2020 tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.