Kişisel Veri Saklama ve İmha Politikası

MOTOSPARTAN İKİ TEKERLEKLİ ARAÇLAR ANONİM ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

  1. KAPSAM

    1. İşbu Motospartan İki Tekerlekli Araçlar Anonim Şirketi Kişisel Veri Saklama ve İmha Politikası (“Politika”), Motospartan İki Tekerlekli Araçlar Anonim Şirketi (“Şirket”) bünyesinde veya Şirket adına kişisel veri işlenen herhangi bir sürece dahil olan tüm Şirket departmanları ve çalışanları ile üçüncü kişileri ve kişisel verileri işlenen tüm gerçek kişileri kapsar.
    2. İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.
    3. İşbu Politika, ilgili mevzuatın gerektirmesi halinde yahut Şirket’in gerekli gördüğü hallerde zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.
    4. İlgili mevzuat düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde ilgili mevzuat düzenlemeleri esas alınır.

  1. TANIMLAR

İşbu Politika’da geçen tanımlar aşağıdaki anlamları ihtiva eder:

Açık Rıza

belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,

Anonim Hale Getirme

Kişisel Veriler’in, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,

Anonim Hale Getirilmiş Veri

başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmiş veri,

İlgili Kişi(ler)

Şirket tarafından veya Şirket adına yetkilendirilmiş kişiler / kurumlar tarafından Kişisel Veriler’i işlenen gerçek kişiler,

İlgili Kullanıcı(lar)

verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda Kişisel Veriler’i işleyen kişiler,

İmha

Kişisel Veriler’in Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi,

Kayıt Ortamı

tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler’in bulunduğu her türlü ortamı,

Kişisel Veri(ler)

kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan özel nitelikli Kişisel Veriler’i de kapsamaktadır),

Kişisel Verilerin İşlenmesi

Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlem,

Komite

Şirket’in Kişisel Verilerin Korunması Komitesi,

Kurul

Kişisel Verileri Koruma Kurulu,

Kurum

Kişisel Verileri Koruma Kurumu,

KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu,

KVK Düzenlemeleri

başta KVKK olmak üzere yürürlükte bulunan Kişisel Veriler’in korunmasına ilişkin ilgili tüm mevzuat düzenlemeleri, Kurul kararları, Kurum rehberleri ve kamuoyu duyuruları, sair düzenleyici ve denetleyici otorite, mahkeme ve diğer resmi makam kararları / talimatları ile ileride yürürlüğe girebilecek olan Kişisel Veriler’in korunması alanındaki tüm düzenlemeler ve bunlarda yapılacak değişiklikler,

KVK Prosedürleri

Şirket’in, Şirket çalışanlarının ve Komite’nin KVK Politikaları kapsamında uyması gereken yükümlülükleri belirleyen prosedürler,

Sicil

Kurum Başkanlığı tarafından tutulan Veri Sorumluları Sicili Bilgi Sistemi,

Özel Nitelikli Kişisel Veri

kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler,

Silme

Kişisel Veriler’in İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi,

Kişisel Veri İşleme Veri Envanteri

Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veriler’i işleme faaliyetlerini; Kişisel Veriler’i işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Veriler’in işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Veriler’i ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanteri,

Veri Kayıt Sistemi

Kişisel Veriler’in belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi,

Veri Sorumlusu

Kişisel Veriler’in işleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sistemi’nin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi,

Yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik ve

Yok Etme / Edilme

Kişisel Veriler’in, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

  1. AMAÇ VE KAPSAM

    1. Yönetmelik hükümleri uyarınca Şirket, Sicil’e kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, KVK Düzenlemeleri uyarınca oluşturmuş olduğu Kişisel Veri İşleme Envanteri’ne uygun bir şekilde Kişisel Veriler’i, saklamak ve gerektiğinde İmha etmek için bir politika hazırlamak ve bu politikaya uygun hareket etmek ile yükümlüdür. Bu kapsamda Şirket, sayılan yükümlülükleri yerine getirmek amacıyla işbu Politika’yı hazırlamıştır.

    1. İşbu Politika ile Şirket, Kişisel Verilerin İşlenmesi faaliyetlerine konu İlgili Kişiler’in Kişisel Veriler’inin saklanması ve İmha edilmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla KVK Düzenlemeleri’nde belirlenen yükümlülüklerin Şirket ve Şirket’in Veri İşleyenleri tarafından yerine getirilmesini hedeflemiştir.

    1. İşbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan dokümanlar hem basılı hem de elektronik kopyaları kapsar.

    1. Kişisel Veriler’in saklanması ve İmha’sında aşağıdaki ilkeler geçerlidir:

      1. KVKK’nın 4’üncü maddesindeki genel ilkeler ve Yönetmelik’in 7’nci maddesindeki ilkelere uyulur.
      2. Şirket, işbu Politika’yı hazırlamış olmanın tek başına Kişisel Veriler’in KVK Düzenlemeleri’ne uygun olarak İmha edildiği anlamına gelmeyeceğini kabul eder.
      3. Şirket, Kişisel Veriler’i saklanması yahut İmha’sında, KVK Düzenlemeleri’ne ve işbu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.

  1. KAYIT ORTAMLARI

Şirket, KVK Düzenlemeleri kapsamındaki Kişisel Verilerin İşlenmesi faaliyetlerine konu tüm Kişisel Veriler’i, tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler’in bulunduğu ve aşağıda belirtilen ortamlarda saklar. Şirket, işbu Politika ile Kişisel Veri içeren ve aşağıda sayılmış olan ortamlara ek olarak ortaya çıkabilecek diğer ortamlardaki Kişisel Veriler’i de işbu Politika’nın kapsamına dahil etmeyi kabul eder.

Elektronik Kayıt Ortamları

Elektronik Olmayan Kayıt Ortam

Sunucular (örn. lokal sunucular, hizmet sağlayıcılarına ait sunucular, etki alanı, yedekleme, e-posta, veri tabanı (örn. CRM), web, dosya paylaşım, entegrasyonlar)

Kağıt

Yazılımlar (örn. ofis yazılımları, ERP, e-ticaret, servis / kurulum gibi portallar)

Manuel Veri Kayıt Sistem’leri (anket formları, yetkili servis formları)

Bilgi güvenliği cihazları (örn. güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs)

Yazılı, basılı, görsel ortamlar

Kişisel bilgisayarlar (masaüstü, dizüstü)

İş akdi kapsamında tahsis edilen mobil cihazlar ve içerisindeki tüm saklama alanları (örn. telefon, tablet)

Yazıcı, tarayıcı, fotokopi makinesi, kamera kayıt cihazı gibi çevre birimler

  1. KİŞİSEL VERİ’LERİN SAKLANMASINI VE İMHA’SINI GEREKTİREN SEBEPLER

Şirket, Kişisel Veriler’i, yukarıda bahsi geçen ilkelerle uyumlu şekilde, Motospartan İki Tekerlekli Araçlar Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın ilgili maddelerinde yer alan Kişisel Verilerin İşlenmesi amaçlarıyla ve aşağıda belirtilen KVKK’nın 5’inci ve 6’ncı maddelerinde yer alan Kişisel Verilerin İşlenmesi şartlarına istinaden saklamakta ve söz konusu şartların tamamının ortadan kalkması halinde, Kişisel Veriler’i re’sen veya İlgili Kişi’nin talebi üzerine İmha eder.

Şirket, Kişisel Veriler’in güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

    1. Kişisel Veriler’in Saklanmasını Gerektiren Durumlar

Şirket, (i) kanunlarda açıkça öngörülmesi, (ii) fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatının veya beden bütünlüğünün korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin İşlenmesi’nin gerekli olması, (iv) hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması, (v) bir hakkın tesisi, kullanılması veya korunması için Kişisel Verilerin İşlenmesi’nin zorunlu olması, (vi) İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için Kişisel Verilerin İşlenmesi’nin zorunlu olması hallerinde Kişisel Veriler’i KVK Düzenlemeleri’ne uygun olarak saklar. Şirket ayrıca (i) İlgili Kişi’nin Açık Rıza’sının bulunması ve (ii) KVKK’nın 6’ncı maddesinin (3) numaralı fıkrasında yer verilen Özel Nitelikli Kişisel Veriler’in işlenmesi şartlarının bulunması durumunda da Kişisel Veriler’i KVK Düzenlemeleri’ne uygun olarak saklar.

    1. Kişisel Veriler’in İmha’sını Gerektiren Durumlar

Kişisel Veriler’in hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu veriler, re’sen veya İlgili Kişi’nin talebi üzerine Şirket tarafından İmha edilir. Buna göre Şirket:

  • Kişisel Veriler’i işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel Veriler’in işlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel Veriler’i işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi, Kişisel Veriler’i işlemenin sadece Açık Rıza şartına istinaden gerçekleştiği hallerde, İlgili Kişi’nin rızasını geri alması,
  • İlgili Kişi’nin, KVKK’nın 11’inci maddesinde tanınan hakları çerçevesinde Kişisel Veriler’i işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirket’in, İlgili Kişi tarafından Kişisel Veriler’inin Silinmesi veya Yok Edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi durumunda, Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel Veriler’in saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, Kişisel Veriler’i daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması ve
  • KVKK’nın 5’inci ve 6’ncı maddelerindeki Kişisel Veriler’in işlenmesini gerektiren şartların ortadan kalkması

gibi hallerde Kişisel Veriler’i İmha eder.

Şirket, Kişisel Verilerin İşlenmesi şartlarının belirlenmesinden ve güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır. Şirket, yukarıda belirtilen hallerde Kişisel Veriler’i KVK Düzenlemeleri’ne, işbu Politika’ya ve işbu Politika uyarınca Şirket tarafından oluşturulacak KVK Prosedürleri’ne uygun bir şekilde re’sen veya İlgili Kişi’nin talebi üzerine İmha etmekle yükümlüdür.

  1. KİŞİSEL VERİ’LERİN İMHA EDİLMESİ İŞLEMİ İLE İLGİLİ UYGULANAN YÖNTEMLER VE KİŞİSEL VERİ’LERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

Şirket, Kişisel Veriler’in güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, KVKK’nın 12’nci maddesi ve Yönetmelik hükümleri, işbu Politika ve Politika kapsamında çıkarılan KVK Prosedürleri, Kurul kararları ile Kurum rehberleri uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri alır:

    1. Teknik Tedbirler

      1. Teknolojideki gelişmelere uygun teknik önlemler alınır, alınan önlemler periyodik olarak güncellenir ve yenilenir.
      2. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak yetki matrisi oluşturulur, kişisel hesap yönetimi sistemi kurulur ve şifreleme sistemleri aktive edilir.
      3. Güvenlik duvarlarını içeren yazılım ve donanımlar kurulur, log kayıtları tutulur ve düzenli yedeklemeler yapılır.
      4. Hizmet sağlayıcılarımız tarafından ve/veya Şirketimizce:

        • Ağ güvenliğini sağlamak için gerekli yazılım ve donanımlar kullanılır.
        • Yetki kontrolleri aralıklarla gerçekleştirilir.
        • Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği Komite’ye raporlanır, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilir. Bu kapsamda bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenir.
        • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılır.
        • Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler (örn. karekod okutmalı geçiş sistemleri, kapalı devre güvenlik kameraları) alınır.
        • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (örn. sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yangın söndürme sistemi,) ve yazılımsal (örn. güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler) önlemler alınır.
        • Kişisel Veriler’in hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenir, bu risklere uygun teknik tedbirlerin alınması sağlanır ve alınan tedbirlere yönelik teknik kontroller yapılır.
        • Kişisel Veriler’in bulunduğu saklama alanlarına erişimler karekod okutmalı geçiş sistemleri ve kapalı devre güvenlik kamerası ile kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulur.
        • Silinen Kişisel Veriler’in İlgili Kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınır.
        • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenir ve bilgi sistemleri güncel halde tutulur.
        • Kişisel Veriler’in işlendiği elektronik ortamlarda güçlü parolalar kullanılır.
        • Kişisel Veriler’in işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılır.
        • Kişisel Veriler’in güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılır.
        • Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılır.
        • Özel Nitelikli Kişisel Veriler’in işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınır, fiziksel güvenlik sağlanarak yetkisiz giriş çıkışlar engellenir.
        • Özel Nitelikli Kişisel Veriler’in e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.
        • Özel Nitelikli Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizli” formatta gönderilir.

      1. Teknik konularda yetkin danışmanlardan dış destek alınır. Bu danışmanlar gerektiğinde Komite toplantılarına davet edilir.

    1. İdari Tedbirler

      1. Şirket, çalışanlarını KVK Düzenlemeleri hakkında bilgilendirir ve bilgi güvenliği de dahil Kişisel Veriler’in korunması alanında eğitimler verir. Eğitimler kapsamında, çalışanlara rolleri ve sorumlulukları anlatılır ve Şirket Kişisel Veri işleme faaliyetleri bakımından ‘yasaklanmadıkça her şey serbest’ prensibi yerine ‘izin verilmedikçe her şey yasak’ prensibinin geçerli olduğu açıklanır. Çalışanlar ile iş akdinin ifası sırasında öğrendikleri Kişisel Veriler’i KVK Düzenlemeleri’ne aykırı şekilde işlemeyecekleri ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda gizlilik sözleşmesi imzalanarak Kişisel Veriler’in korunması adına gerekli taahhütler alınır. Bu kapsamda, çalışan iş akitlerine ve disiplin yönetmeliklerine KVK Düzenlemeleri’ne uygun hükümler eklenir. Şirket içi organizasyonlarında, bu taahhütlere ve sair gizlilik yükümlülüklerine uyulmaması durumunda işletilecek disiplin süreçleri hazırlanır.
      2. İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel Veriler’e erişim ve yetkilendirme süreçleri tasarlanır ve uygulanır.
      3. Şirket tarafından Kişisel Veriler’in hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, söz konusu üçüncü kişiler tarafından da Kişisel Veriler’in KVK Düzenlemeleri’ne uygun şekilde işleneceğine ilişkin hükümler eklenir.
      4. Şirket içi periyodik ve/veya rastgele denetimler yapılır. Risk analizleri gerçekleştirilerek gerekli önlemler alınır.
      5. Kişisel Veriler’in hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu İlgili Kişi’ye ve Kurul’a bildirmek için Şirket tarafından prosedür oluşturulur.
      6. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlan.
      7. İlgili Kişiler’i aydınlatma yükümlülüğü yerine getirilir.
      8. Kişisel Veri İşleme Envanteri hazırlanır ve Kişisel Veri İşleme Envanteri’nin güncel tutulması adına gerekli prosedür oluşturulur.

    1. Kişisel Veriler’in Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirket, KVKK’nın 12’nci maddesine uygun olarak, kendi bünyesinde oluşturduğu Komite aracılığı ile gerekli denetimleri yapar veya yaptırır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanır ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülür.

  1. KİŞİSEL VERİ’LERİN İMHA YÖNTEMLERİ

Şirket, KVKK’nın 5’inci ve 6’ncı maddelerinde yer alan Kişisel Verilerin İşlenmesi şartlarının tamamının ortadan kalkması halinde, Kişisel Veriler’i aşağıdaki yöntemlerle İmha etmektedir. Şirket, Kişisel Veriler’in İmha’sında azami dikkat ve özeni göstermektedir. Bu kapsamda Şirket, KVKK’nın 12’nci maddesi ve Yönetmelik hükümleri, işbu Politika ve işbu Politika kapsamında oluşturulan KVK Prosedürleri, Kurul kararları, Kurum rehberleri ve KVK Düzenlemeleri uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri alır. İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır. Şirket, Kurul tarafından aksine bir karar alınmadıkça, Kişisel Veriler’i re’sen Silme, Yok Etme veya Anonim Hale Getirme yöntemlerinden uygun olanını teknolojik imkanlar ve uygulama maliyetine göre seçer.

    1. Kişisel Veriler’in Silinme Yöntemleri

Kişisel Veriler’in Silinmesi, Kişisel Veriler’in İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, silinen Kişisel Veriler’in İlgili Kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri alır.

Bu kapsamda Şirket, Kişisel Veriler’i Silme işlemi için aşağıdaki yöntemleri uygular:

  1. Bulut Sistemleri

Bulut sisteminde bulunan veriler Silme komutu verilerek silinir. Şirket, anılan işlemi gerçekleştirirken İlgili Kullanıcı’nın bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat eder.

  1. Kağıt Ortamı

Kağıt ortamında bulunan Kişisel Veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki Kişisel Veriler’in, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak İlgili Kullanıcılar’a görünemez hale getirilmesi şeklinde yapılır.

  1. Merkezi Sunucuda Yer Alan Ofis Dosyaları

Dosya işletim sistemindeki Silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde İlgili Kullanıcı’nın erişim hakları kaldırılır. Anılan işlem gerçekleştirilirken İlgili Kullanıcı’nın aynı zamanda sistem yöneticisi olmadığına dikkat edilir.

  1. Veri Tabanları

Kişisel Veriler’in bulunduğu ilgili satırların veri tabanı komutları (örn. delete) ile silinir. Anılan işlem gerçekleştirilirken İlgili Kullanıcı’nın aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.

Belirtilen Silme yöntemleri, KVK Düzenlemeleri’ne bağlı olup ilgili durumlarda güncellenmesi Şirket’in sorumluluğundadır.

    1. Kişisel Veriler’in Yok Edilme Yöntemleri

Kişisel Veriler’in Yok Edilmesi, Kişisel Veriler’in hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, Kişisel Veriler’in Yok Edilmesi ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

Bu kapsamda Şirket, Kişisel Veriler’i Yok Etme işlemi için aşağıdaki yöntemleri uygulamaktadır:

  1. Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

  1. Manyetize Etme

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.

  1. Fiziksel Yok Etme

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak Yok Edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

  1. Bulut Sistemleri

Bulut sistemleri üzerinde tutulan Kişisel Veriler’in Yok Etme bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından Kişisel Veriler’in şifreleme anahtarlarının tüm kopyalarının İmha edilmesi işlemidir.

  1. Çevresel Sistemler

Yazıcı, tarayıcı, fotokopi makinesi, kamera kayıt cihazı gibi sistemler içerisinde yer alan ve Kişisel Veriler’i barındıran, mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel Yok Etme uygulanarak yapılması gereken Yok Etme işlemidir. Bu tip Yok Etme işlemlerinin, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

  1.  Kağıt ve Mikrofis Ortamları

Söz konusu ortamlardaki Kişisel Veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortam yok edilir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.

Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan Kişisel Veriler ise bulundukları elektronik ortama göre yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.

    1. Kişisel Veriler’in Anonimleştirilme Yöntemleri

Kişisel Veriler’in Anonim Hale Getirilmesi, Kişisel Veriler’in başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel Veriler’in anonim hale getirilmiş olması için; Kişisel Veriler’in, Şirket, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi Kayıt Ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Şirket, Kişisel Veriler’in Anonim Hale Getirilmesi ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

Şirket, Kişisel Veriler’in anonimleştirilmesine karar vermesi durumunda aşağıdaki şartları yerine getirir:

  • Anonim Hale Getirilmiş Veri kümesinin bir başka veri kümesiyle birleştirilerek anonimliğinin bozulamaması,
  • bir ya da birden fazla değerin bir kaydı tekil hale getirebilecek şekilde anlamlı bir bütün oluşturulmaması ve
  • Anonim Hale Getirilmiş Veri kümesindeki değerlerin birleşip bir varsayım veya sonuç üretebilir hale gelmemesi.

Yukarıda sayılan riskler sebebiyle Şirket, Anonim Hale Getirdiği veri kümeleri üzerinde düzenli kontroller yapar ve anonimliğin korunduğundan emin olur.

Aşağıda belirtilen Anonim Hale Getirme yöntemleri uygulanırken Şirket tarafından verinin niteliği, büyüklüğü, fiziki ortamlarda bulunma yapısı, çeşitliliği, sağlanmak istenen fayda / işleme amacı, işleme sıklığı, aktarılacağı tarafın güvenilirliği, Anonim Hale Getirilmesi için harcanacak çabanın anlamlı olması, anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, dağıtıklık / merkezilik oranı, kullanıcıların ilgili veriye erişim yetki kontrolü, anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcanacak çabanın anlamlı olması ihtimalini dikkate alınır.

Bir Kişisel Veri’yi anonim hale getiren Şirket, Kişisel Veri’yi aktardığı diğer kurum ve kuruluşların bünyesinde olduğu bilinen ya da kamuya açık bilgilerin kullanılması ile söz konusu verinin yeniden bir kişiyi tanımlar nitelikte olup olmadığını, yapacağı sözleşmelerle ve risk analizleriyle kontrol eder.

Bu kapsamda Şirket, Kişisel Veriler’i Anonim Hale Getirme işlemi için aşağıdaki yöntemleri uygulamaktadır:

  1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri           

Değer düzensizliği sağlamayan yöntemlerde veri kümesinin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılır.

  • Değişkenleri Çıkartma

Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir Anonim Hale Getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır.

  • Kayıtları Çıkartma

Bu yöntemde ise veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür.

  • Bölgesel Gizleme

Bölgesel gizleme yönteminde de amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.

  • Genelleştirme

İlgili Kişisel Veri’yi özel bir değerden daha genel bir değere çevirme işlemidir. Genelleştirme işlemi sonucunda elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.

  • Alt ve Üst Sınır Kodlama

Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir.

  • Global Kodlama

Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.

  • Örnekleme

Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.

  1. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak, mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Bu durumda kayıtların taşıdığı değerler değişmekte olduğundan veri kümesinden elde edilmesi planlanan faydanın doğru hesaplanması gerekmektedir. Veri kümesindeki değerler değişiyor olsa bile toplam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir.

  • Mikro Birleştirme

Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.

  • Veri Değiş Tokuşu

Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.

  • Gürültü Ekleme

Bu yöntem ile seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkarmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.

  1. Anonim Hale Getirme’yi Kuvvetlendirici İstatistik Yöntemler

Anonim Hale Getirilmiş Veri kümelerinde kayıtlardaki bazı değerlerin tekil senaryolarla bir araya gelmesi sonucunda, kayıtlardaki kişilerin kimliklerinin tespit edilmesi veya Kişisel Veriler’ine dair varsayımların türetilebilmesi ihtimali ortaya çıkabilmektedir. Bu sebeple Anonim Hale Getirilmiş Veri kümelerinde çeşitli istatistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliğini minimuma indirerek anonimlik güçlendirilebilmektedir.

Bu yöntemlerdeki temel amaç, anonimliğin bozulması riskini en aza indirerek veri kümesinden sağlanacak faydayı da belli bir seviyede tutabilmektir.

  • K-Anonimlik

K-anonimlik, bir veri kümesindeki belirli alanlarla, birden fazla kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engellemek için geliştirilmiştir. Bir veri kümesindeki değişkenlerden bazılarının bir araya getirilerek oluşturulan kombinasyonlara ait birden fazla kayıt bulunması halinde, bu kombinasyona denk gelen kişilerin kimliklerinin saptanabilmesi olasılığı azalmaktadır.

  • L-Çeşitlilik

K-anonimliğin eksikleri üzerinden yürütülen çalışmalar ile oluşan L-çeşitlilik yöntemi aynı değişken kombinasyonlarına denk gelen hassas değişkenlerin oluşturduğu çeşitliliği dikkate almaktadır.

  • T-Yakınlık

Kişisel Veriler’in, değerlerin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayrılarak anonim hale getirilmesi sürecine T-yakınlık yöntemi denmektedir.

  1. SAKLAMA VE İMHA SÜRELERİ

    1. Periyodik İmha ve Yasal Saklama Süreleri

Yasal saklama ve İmha sürelerini dolduran fiziksel ve dijital ortamda bulunan Kişisel Veriler, periyodik olarak İmha edilir. Şirket, Kişisel Veriler’i İmha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik İmha işleminde, Kişisel Veriler’i İmha eder. Periyodik İmha, tüm Kişisel Veriler için 6 (altı) aylık zaman aralıklarında gerçekleştirilir. Anılan süre, her hal ve koşulda Yönetmelik’in 11’inci maddesinde belirtilen azami periyodik İmha süresini aşmamaktadır.

Periyodik İmha sırasında baz alınacak yasal saklama ve İmha süreleri, Kişisel Veri İşleme Envanteri’nde ve işbu Politika’ya ek ve saklama sürelerini gösterir Ek-1’de (Saklama ve İmha Süreleri Tablosu) belirlenmiştir. Şirket, KVK Düzenlemeleri kapsamında Kurul’un süreleri kısaltması durumunda, yeni sürelere uyum sağlayacağını taahhüt eder.

İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır. Şirket’in diğer hukuki yükümlülüklerden kaynaklanan Kişisel Veri saklama hakları saklıdır.

 

    1. İlgili Kişiler’in Talep Etmesi Durumunda Silme ve Yok Etme Süreci

İlgili Kişi’nin, Şirket’e başvurarak kendisine ait Kişisel Veriler’in İmha edilmesini talep etmesi halinde Şirket:

  1. Kişisel Verilerin İşlenmesi şartlarının tamamı ortadan kalkmışsa:

  1. İlgili Kişi’nin talebini en geç 30 (otuz) gün içinde sonuçlandırır ve İlgili Kişi’ye bilgi verir ve
  2. talebe konu olan Kişisel Veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.

  1. Kişisel Verilerin İşlenmesi şartlarının tamamı ortadan kalkmamışsa, İlgili Kişi’nin talebini KVKK’nın 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını İlgili Kişi’ye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirir.

  1. SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI

Şirket, Kişisel Veriler’in saklanması ve İmha edilmesi süreçlerinde yer alan kişileri, KVK Düzenlemeleri ve Kişisel Veriler’in hukuka uygun olarak işlenmesi konusunda bilgilendirilir ve eğitir. Bu kapsamda, Şirket çalışanları ve görevleri dolayısıyla Kişisel Veriler’i öğrenen kişiler, bahse konu bilgileri KVK Düzenlemeleri’ne uygun olarak saklar ve İmha eder. Bu yükümlülük, söz konusu kişilerin görevden ayrılmalarından sonra da devam eder.

Bu kapsamda, Şirket’in saklama ve İmha süreçlerinde Komite üyeleri görevlidir.

  1. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

    1. KVK Düzenlemeleri’nde yapılacak her türlü resmi değişiklik uyarınca veya Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir. KVK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.

    1. Şirket, güncel Politika versiyonunu e-posta yolu ile çalışanlarıyla paylaşacak ve/veya kurumsal intranet üzerinden çalışanlarının erişimine sunacaktır.

  1. POLİTİKA’NIN YÜRÜRLÜK TARİHİ

İşbu Politika’nın bu versiyonu 25.03.2024 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.

EK-1: SAKLAMA VE İMHA SÜRELERİ TABLOSU İÇİN TIKLAYIN

Bu internet sitesinde sizlere daha iyi hizmet sunulabilmesi için Cookieler kullanılmaktadır. Cookie tercihlerinizi değiştirmek ve Cookieler hakkında detaylı bilgi almak için İnternet Sitesi Gizlilik Politikası’nı inceleyebilirsiniz. Cookie ayarlarını değiştirmeniz durumunda internet sitesinin bazı özelliklerinin işlevselliğini kaybedebileceğini dikkate alınız.