KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI (“POLİTİKA”)

1.BÖLÜM: GİRİŞ

  1. Amaç ve Kapsam

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), veri sorumlusu sıfatıyla Teknik Katı Atık Yönetimi Tic. Ltd. Şti. (“Şirket”) tarafından 6698 sayılı Kanun ve buna bağlı mevzuat gereği ve özellikle KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK gereklilikleri doğrultusunda, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda Politika; sorumluluk ve görev  dağılımları, kayıt ortamları, saklama ve imha süreçleri, teknik ve idari tedbirler, imha teknikleri, saklama ve imha süreleri ile yürürlük ve güncellemeye ilişkin düzenlemeleri içerir.

  1. Kısaltmalar ve Tanımlar

Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan : Bir iş akdiyle veri sorumlusuna bağlı olarak çalışan personel.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

İlgili Kişi : Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı : Veri sorumlusunun iş organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun/KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri : Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul : Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Periyodik Olmayan İmha: İmhanın periyodik imha dışında saklama süresi biten kişisel verilerin imha edilmesi suretiyle gerçekleştirilmesi

Politika : Kişisel Verileri Saklama ve İmha Politikası

Muhatap veri sorumlusu: Alıcı grubu içinde veri sorumlusundan veri sorumlusuna aktarım yapıldığı hallerde, Şirket’in ilişki kapsamında veri aktardığı muhatap veri sorumlusu.

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi sıfatıyla Teknik Katı Atık Yönetimi Tic. Ltd. Şti., Şirket

Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Çalışanların Özel Sorumluluğu: Çalışanların iş akdi kapsamında görevlerini ifa ederken kişisel verileri koruması bakımından Politika kapsamında belirlenen ve işverenlikçe özelleştirilmiş disiplinel ve/veya hukuki sorumluluk.

KVKK sorumlusu personeller: Politikanın ve mevzuatın veri sorumlusu nezdinde uygulanma ve güncellemesinden sorumlu olan idari çalışanlar ve/veya yöneticiler

KVKK Heyeti: Politikanın ve mevzuatın veri sorumlusu nezdinde uygulanma ve güncellemesinden sorumlu olan idari çalışanlar ve/veya yöneticilerin heyet halinde takip ve koordinasyonu ile aldığı kararlar

2. BÖLÜM: SORUMLULUK VE GÖREV DAĞILIMLARI

1) Çalışanların Özel Sorumluluğunun Kapsamı

Veri sorumlusunun tüm çalışanları görevlerini yerine getirirken; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak zorundadır.

Çalışanlar katıldıkları eğitim/ler sonucu ve kendilerine yapılan sözlü ve yazılı bildirimler çerçevesinde gerekli her türlü teknik ve idari tedbire uymak ve bu tedbirlerin uygulanmasında yaşanan en hafif düzeydeki herhangi bir ihmal ya da ihlali yöneticisine derhal ve yazılı olarak bildirmek zorundadır. İşyerinde planlı ya da plansız denetimler neticesinde ya da herhangi bir sebeple kişisel verilerin korunması bakımından çalışanın ihmal veya ihlalinin tespit edilmesi halinde iki tanık eşliğinde tutanak tutulur ve çalışanın özlük dosyasına işlenir.

Çalışanlar iş ilişkisi kapsamında doğrudan ya da dolaylı olarak öğrendikleri ya da kendisinin zilyetliğine bırakılmış elektronik ya da elektronik olmayan kayıt ortamında bulunan kişisel verileri özlük dosyalarında yer alan taahhütnameye ve 6698 sayılı Kanun hükümleri ile ikincil mevzuata aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

İşbu madde kapsamında iş hukuku mevzuatından kaynaklanan düzenlemeler ile adli veya cezai gereklilikler ve idari disiplin hükümleri saklıdır.

2) Çalışanların Özel Sorumluluğu Bakımından Yaptırımlar

Çalışanların yukarıdaki özel sorumluluğu bakımından, çalışanın ihmali herhangi bir ihlale sebebiyet vermediyse; iki tanık imzasıyla düzenlenmiş tutanağa istinaden veri sorumlusu tarafından yürürlükteki İş Kanunu başta olmak üzere iş ilişkisini düzenleyen mevzuata göre çalışana disiplin işlemi uygulanır. Sürecin takip ve koordinasyonu İnsan Kaynakları Direktörlüğü tarafından yapılır ve disiplin yaptırımı olarak belirlenen husus yahut varsa başkaca hukuki sonuç çalışana tebliğ edilir.

Ayrıca denetimler sonucunda iki defa uyarı almış çalışanın iş ilişkisi, işverenlik tarafından mutlaka gözden geçirilerek İş Kanunu ve ilgili mevzuat çerçevesinde iş akdinin feshedilip edilmeyeceğine süresi içinde karar verilir ve çalışana tebliğ edilir.

İşverenlik tarafından eğitim verilmiş olmasına rağmen; kişisel verilerin korunması bakımından çalışanın fiili ya da herhangi bir eylemde bulunmaması ile gerçekleşen en hafif düzeydeki ihmalin, herhangi bir ihlale sebebiyet vermesi halin gereklerine göre mümkün ya da mevcut ise, yürürlükteki iş mevzuatının sair hükümleri saklı kalmak kaydıyla, bu fiil ya da eylemsizlik hali tek başına İş Kanunu madde 25/II kapsamında İşçinin Doğruluk ve Bağlılığa Uymayan Davranış nedeniyle iş akdinin işverenlikçe haklı ve bildirimsiz feshine karine teşkil eder.

Çalışanların özel sorumluluğu kapsamındaki herhangi bir ihmalin ya da ihlalin Kurul’a bildirilmeyi gerektirir nitelikte bir veri ihlali olması gerekmez.

İşverenliğin, ihlal neticesinde doğmuş bir zararı kusur oranında çalışana rücu hakkı vardır.

Yukarıdaki tüm hususlar bakımından İş Kanunu’nun ve ilgili mevzuatın sair hükümleri saklıdır.

3) Saklama ve İmha Süreçleri Görev Dağılımı

KVKK sorumlusu personeller aşağıdaki gibidir.

Yönetim Kurulu Başkanı: Çalışanların politikaya uygun hareket etmesinden sorumludur.

İnsan Kaynakları Direktörü: Veri Envanteri ve Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. Politika kapsamında çalışanların özel sorumluluğundan ve eğitimleriyle görevlidir.

Bilgi Teknolojileri Yetkilisi: Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

Diğer direktörler/yetkililer: Görevlerine uygun olarak Politikanın, direktörü/müdürü oldukları birim tarafından yürütülmesinden sorumludur.

3.BÖLÜM: KAYIT ORTAMLARI

Elektronik ortamlar: Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları, portal.)  Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )  Kişisel bilgisayarlar (Masaüstü, dizüstü)  Mobil cihazlar (telefon, tablet vb.)  Optik diskler (CD, DVD vb.)  Çıkartılabilir bellekler (USB, Hafıza Kart vb.)  Yazıcı, tarayıcı, fotokopi makinesi

Elektronik olmayan ortamlar: Kağıt  Manuel veri kayıt sistemleri (formlar ve matbu belgeler)  Yazılı, basılı, görsel ortamlar (proje evrakları)

4. BÖLÜM: SAKLAMA VE İMHA SÜREÇLERİ

Veri sorumlusu tarafından Ziyaretçi, Veli / Vasi / Temsilci, Ürün veya Hizmet Alan Kişi, Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Potansiyel Ürün veya Hizmet Alıcısı, Hissedar/Ortak , Çalışan,  Çalışan Adayı kategorilerindeki kişilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir. Kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

  1. Saklamayı Gerektiren Hukuki ve Teknik Sebepler

 

Veri sorumlusu faaliyetleri çerçevesinde işlenen kişisel veriler, veri sorumlusunun meşru menfaati daha uzun süre saklamayı gerektirmiyorsa ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; kanunlar uyarınca ve yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

  1. Saklamayı Gerektiren İşleme Amaçları

 

Acil Durum Yönetimi Süreçlerinin Yürütülmesi, Bilgi Güvenliği Süreçlerinin Yürütülmesi,  Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi, Denetim / Etik Faaliyetlerinin Yürütülmesi, Eğitim Faaliyetlerinin Yürütülmesi, Erişim Yetkilerinin Yürütülmesi, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Finans Ve Muhasebe İşlerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini, Görevlendirme Süreçlerinin Yürütülmesi 16. Hukuk İşlerinin Takibi Ve Yürütülmesi, İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi, Denetimi,  İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi, İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi, Lojistik Faaliyetlerinin Yürütülmesi, Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi, Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi, Mal / Hizmet Satış Süreçlerinin Yürütülmesi,  Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi, Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Risk Yönetimi Süreçlerinin Yürütülmesi 36. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi, Stratejik Planlama Faaliyetlerinin Yürütülmesi , Talep / Şikayetlerin Takibi,  Taşınır Mal Ve Kaynakların Güvenliğinin Temini, Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi, Ücret Politikasının Yürütülmesi, Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,  Yatırım Süreçlerinin Yürütülmesi ,  Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi, Yönetim Faaliyetlerinin Yürütülmesi

 

  1. İmhayı Gerektiren Sebepler

Kişisel veriler;

 İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

 İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

 Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

 Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kabul edilmesi,

 İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile  veri sorumlusuna yapılan başvurunun reddi, yetersizliği veya Kanunda öngörülen süre içinde cevap verilmemesi gerekçeleriyle; Kurul tarafından başvurudaki mezkur talebin uygun bulunması,

 Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

5. BÖLÜM: TEKNİK VE İDARİ TEDBİRLER

  1. Teknik Tedbirler

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

Anahtar yönetimi uygulanmaktadır.

Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

Çalışanlar için yetki matrisi oluşturulmuştur.

Erişim logları düzenli olarak tutulmaktadır.

Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

Gizlilik taahhütnameleri yapılmaktadır.

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

Güncel anti-virüs sistemleri kullanılmaktadır.

Güvenlik duvarları kullanılmaktadır.

İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

Kişisel veri güvenliğinin takibi yapılmaktadır.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

Kişisel veriler mümkün olduğunca azaltılmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

Mevcut risk ve tehditler belirlenmiştir.

Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

Saldırı tespit ve önleme sistemleri kullanılmaktadır.

Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

Şifreleme yapılmaktadır.

Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

Veri kaybı önleme yazılımları kullanılmaktadır.

  1. İdari Tedbirler

Veri sorumlusu tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

1. Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve mevzuat hakkında eğitimler verilmektedir.

2. Çalışanların iş akdinde gizlilik hükümleri, özlük dosyalarında çalışanların kişisel verilerine ilişkin muvafakatname, çalışanların iş akdi çerçevesindeki görev ve sorumlulukları bakımından ise kişisel verilerin korunmasına ilişkin taahhütnameleri mevcuttur.

3. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü işbu Politika’da çalışanların özel sorumluluğu kapsamında belirlenmiştir.

4. Kişisel veri işlemeye başlamadan önce veri sorumlusu tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

5. Kişisel veri işleme envanteri hazırlanmıştır.

6. Veri sorumlusunun işyerlerinde periyodik ve rastgele denetimler yapılmaktadır.

7. Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir

8. Fiziksel mekan güvenliği tedbirleri ile kişisel veri barındıran alanlarda daha yüksektir. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır

9. İmha süreçleri irtibat sorumlusunun periyodik imha tutanağı ile kayıt altına alınır.

10. Veri işleyenler nezdinde farkındalık uyandırılır. Veri işleyenlerle ek protokol yapılır, veri işleyen ve muhatap veri sorumlusu bakımından sorumluluklar farklı uygulanır.

11. Kişisel veriler mümkün olduğunca azaltılmaktadır.

 

6. BÖLÜM: İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, veri sorumlusu tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle tedbiri alınmış olarak imha edilir. İmha süreçlerinden KVKK irtibat görevlisi sorumludur.

  1. Silme, Yok Etme veya Anonim Hale Getirme

Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır, veriler okunamaz hale getirilir.

7. BÖLÜM: SAKLAMA VE İMHA SÜRELERİ

  1. Veri bazlı saklama ve imha süreleri

Kural olarak her kişisel veri, saklamayı gerektiren sebebin ortadan kalkmasından itibaren ve meşru menfaat olmadıkça 10 yıl muhafaza edilir ve ilk periyodik imha anında imha edilir. Bunun dışındaki süreler aşağıdaki gibidir:

1-Kimlik 10 Yıl

2-İletişim 10 Yıl

3-Özlük 10 Yıl

4-Hukuki İşlem 10 Yıl

5-Müşteri İşlem 5 Yıl

6-Fiziksel Mekan Güvenliği 1 Ay

7-İşlem Güvenliği 2 Yıl

8-Risk Yönetimi 10 Yıl

9-Finans 10 Yıl

10-Mesleki Deneyim 10 Yıl

11-Görsel Ve İşitsel Kayıtlar 2 Yıl

12-Sağlık Bilgileri 15 Yıl

13-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri 10 Yıl

  1. Periyodik saklama ve imha süreleri

Yönetmeliğin 11 inci maddesi gereğince veri sorumlusu, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, veri sorumlusu tarafından her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

8. BÖLÜM: POLİTİKANIN YAYINLANMASI VE GÜNCELLENMESİ

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Kalite Yönetimi Direktörlüğü’nde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

9. BÖLÜM: YÜRÜRLÜK VE YÜRÜRLÜKTEN KALDIRMA SÜRECİ

Politika, internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Kalite Direktörlüğü’nde saklanır.

29.09.2020