KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. POLİTİKANIN AMACI:
İşbu Saklama ve İmha Politikası (“Politika”), Devotrans Elektrik Makineleri Sanayi ve Ticaret Limited Şirketi (“Devotrans”) tarafından, veri sorumlusu sıfatıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu kanuna dayanılarak çıkarılan Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) gereği kişisel verilerin saklanması ve imhası faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek ve ilgili kişilerin haklarını etkin bir şekilde kullanmasını sağlamak amacıyla hazırlanmıştır.
2. TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Active Directory: Kullanıcıların domain ortamına bağlanıp tek bir merkezden yönetilmesini sağlayan rehber.
Arşiv Dolapları: Şirketteki her bir birimin tamamlanmış ve arşivlenmiş faaliyetleri için tuttukları fiziki klasörlerin muhafaza edildiği dolaplar.
Birim Dolapları: Şirketteki her bir birimin aktif faaliyetleri için tuttukları fiziki klasörlerin muhafaza edildiği dolaplar.
Çalışan: Devotrans personeli
Exchange Server: Active Directory’e bağlı kullanıcıların mail hesaplarının yönetilmesini sağlayan sunucu.
Elektronik Ortam: Kişisel Verilerin kişisel verilerin oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği elektronik ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. ortamlar.
File Server: Kullanıcıların Masaüstü, Belgeler, Favoriler gibi sık kullanılan dosyalarının merkezi bir yerden yönetilmesini sağlayan sunucu.
Firewall: Şirket dışından gelebilecek saldırıları önlemek ve kullanıcıların bu tür saldırılara maruz kalmaması için hem mail hem de internet alanında güvenlik sağlayan donanımsal bir cihaz. Ayrıca internet erişim kısıtlamaları da bu cihaz üzerinden ayarlanmaktadır.
Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi.
İmha: Kişisel verilerin silinmesi veya yok edilmesi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu KVKK
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri Saklama Tablosu: Kişisel verilerin Şirket bünyesinde saklanacağı süreleri gösteren tablo
Kişisel Veri İşleme Envanteri: KVKK kapsamında, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Logo Yazılım: Muhasebe departmanının muhasebe işlerini kontrol ettiği ve verilerini girdikleri yazılım.
Kurul: 6698 sayılı Kanun ile kurulmuş Kişisel Verileri Koruma Kurulu
Kurum: 6698 sayılı Kanun ile kurulmuş Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha: KVKK‘da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Üzerine Yazma (Karartma): Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Koruma Komitesi: Devotrans tarafından kurulan Veri Koruma Komitesi
Veri Sorumlusu: Devotrans Elektrik Makineleri Sanayi ve Ticaret Limited Şirketi
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi (VERBİS)
Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Ziyaretçi: Devotrans’ın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla ve Devotrans’ın izni ile girmiş olan veya internet sitelerimizi bilgi teknolojileri sistemlerimize uygun olarak ziyaret eden gerçek kişiler
3. SORUMLULUK VE GÖREV DAĞILIMLARI
Devotrans’ın tüm çalışanları, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, izlenmesi ve denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi, hukuka uygun olarak saklanması ve imha edilmesi amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınmasından sorumludur.
Devotrans tarafından, KVKK düzenlemelerine uygun hareket edilmesi için 3 kişi çalışandan meydana gelen müteşekkil Veri Koruma Komitesi oluşturulmuştur.
A. Veri Koruma Komitesi
Veri Koruma Komitesi Üyeleri; Devotrans’ın kişisel veri prosedürlerini ve politikalarını oluşturmak ve geliştirmek üzere seçilmiştir. Komite üyeleri, görev ve sorumluluklarını yerine getirebilmek adına gerekli yetki ve kaynaklara sahiptir.
Veri Koruma Komitesi, kişisel veriler ile ilgili iş ve işlemlerin KVKK ile uyumlu olarak yürütüldüğü konusunda dilediği zaman ve usulde denetleme yapmaya ve denetim esnasında aksaklık tespit edilmesi halinde bu aksaklıkları Devotrans Genel Müdürü’ne bildirmekle yetkilidir.
Veri Koruma Komitesi, Devotrans içerisinde farkındalığı arttırmak için kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek amacıyla;
Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Devotrans içinde yapılması gerekenler konusundaki iyileştirme yöntemlerine ilişkin önerilerini Devotrans Genel Müdürü’ne iletmek,
Çalışanlardan gelecek talep ve bilgilendirmeye göre veri envanterinin irtibat kişisi vasıtasıyla revize edilmesini sağlamak
Veri sahibinin başvurusuna karşı cevap hazırlamak,
Veri sahibinin, verinin imhasına ilişkin taleplerine karşı, işbu Politika’da yer alan usulde açıklamada bulunmak,
Devotrans tarafından imzalanmış ve imzalanacak sözleşmelerin, kişisel verilerin korunması ve işlenmesine ilişkin mevzuat hükümlerine uygunluğunu sağlamak ile görevlidir.
B. Devotrans Çalışanları
Devotrans çalışanları kişisel verinin işlenmesi ve korunmasına ilişkin iş ve işlemlerini işbu prosedür ve bu prosedürde referans olarak gösterilen düzenlemelere uygun olarak yürütmekle sorumludur.
Devotrans çalışanları taşınabilir belleklerde kişisel veri saklayamaz.
Devotrans çalışanları Aydınlatma yükümlülüğünü yerine getirmeden kişisel veri işleyemez.
Devotrans çalışanları kanunda belirtilmemiş ise açık rıza olmadan özel nitelikli kişisel veri işleyemez.
Devotrans çalışanları ihtiyaç duyması halinde; kişisel verinin işlenme amacını, verinin nasıl korunacağını, verinin muhafaza süresini, işlenme metodunu, hukuki sebebini, aktarım yapılacaksa hangi gruplara hangi amaçla ne kadar süre ile aktarım yapılacağını, kullanacağı aydınlatma metnini, açık rızaya dayalı olarak işleme yapılacaksa açık rıza taslak metnini, işlenme amacı ortadan kalktığında kişisel verinin nasıl imha edileceğini belirtmek suretiyle Veri Koruma Komitesi görüş talep edebilecektir.
4. KAYIT ORTAMLARI
İşbu Politika kapsamında kayıt ortamları, kişisel verilerin bulunduğu ortamlar anlamına gelmektedir. Devotrans tarafından işlenen kişisel veriler aşağıda belirtilen ve bunlara ek olarak ortaya çıkabilecek diğer ortamlarda hukuka uygun olarak, güvenli bir şekilde saklanır.
A. Elektronik Ortamlar
- Kurumsal bilgisayarlar
- Kurumsal Yazılımlar (Pixel)
- Bilgi Güvenliği Cihazları
- Ağ üzerinde veri depolama için kullanılan paylaşımlı/paylaşılmamış disk sürücüleri
- Mobil Cihazlar (telefonlar, tablet)
- Active Directory
- File Server
- Exchange Server
- Firewall
- Logo Yazılım
B. Elektronik Olmayan Ortamlar
- Birim Dolapları
- Arşiv Dolapları
5. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ TEKNİK VE DİĞER SEBEPLER
A. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN DEVOTRANS TARAFINDAN BENİMSENEN İLKELER
Devotrans, Kişisel Verileri, KVKK’nın 4. Maddesinde yer alan aşağıdaki şartlara uygun olarak işler; ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza eder ve süre bitiminde İşbu Politika’ya uygun olarak siler veya yok eder.
- Hukuka ve Dürüstlük Kuralına Uygun Olarak
- Doğru ve Gerektiğinde Güncel Olmasını Sağlayarak
- Belirli, Açık ve Meşru Amaçlarla
- Amaçla Bağlantılı, Sınırlı ve Ölçülü Biçimde
Devotrans, Kişisel Veri İşleme Faaliyetlerini, KVKK’nın 5. maddesinde düzenlenen kişisel verilerin işlenme şartlarına uygun olarak icra eder. KVKK’nın 6. maddesinde yer alan özel nitelikli kişisel verilerin kişiler açısından hassas ve korunması azami şekilde önem arz eden bilgiler olduğunun bilincindedir. Bu sebeple, Devotrans özel nitelikli kişisel verilerin işleme şartlarının ve hukuka uygunluğunun varlığından emin olduktan sonra işleme faaliyetini yürütür.
Devotrans, KVKK’nın 8.ve 9.maddelerinde belirlenen kişisel verilerin aktarım şartlarına uygun olarak hareket eder. Devotrans üniteleri ve çalışanları kişisel verileri aktarırken, güvenli bir aktarım sağlamak, aktarma işleminde kişisel verilerin değiştirilmemesi veya kopyalanmaması ve istenen yere gönderilmesini temin etmek için gerekli önlemleri alır ve denetler.
B. SAKLAMA
a. Saklamayı Gerektiren Amaçlar
Devotrans, faaliyetleri çerçevesinde elde ettiği kişisel verileri, ilgili mevzuatta öngörülen ve aşağıda sayılan amaçlar doğrultusunda saklar:
- Çalışanlar: SGK işe girişlerinin yapılması ve evraklarının düzenlenmesi, işten ayrılırken çalışma belgesinin düzenlenmesi, iletişim faaliyetlerinin yürütülmesi, hukuki taleplerin yönetilmesi, işe uygunluğun değerlendirilmesi, özlük dosyası oluşturulması, maaş ve diğer ödemelerin yapılması, izin haklarının takibi ve işverenin muhtemel uyuşmazlıklarda haklarının korunması, hukuki yükümlülük kapsamında personelden imza alınması, davaların takibi, icra kararlarının uygulanması, AGİ ödemesi ve ücret politikasının belirlenmesi, BES ödemelerinin yapılması, üretim ve organizasyon süreçlerinin yönetimi, iş sağlığı ve güvenliği kapsamında evrakının düzenlenmesi, SGK’ya bildirim, muhtasar beyanname düzenlenmesi, çalışan kişinin tanınması, işe uygunluğunun tespiti, kimlik doğrulaması, İSG mevzuatına uygunluğun tespiti, İSG mevzuatı kapsamında risk analizi ve yönetimi, İSG eğitimlerine katılımın tespiti, iş sağlığı ve güvenliğinin temini, fiziksel mekan güvenliğinin sağlanması, mesai takibi, kurum içi iletişimin kurulması, bilgi güvenliği süreçlerinin yönetimi, kurumsal mail takibi, iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi, finans ve muhasebe işlemlerinin yürütülmesi amaçlarıyla işlenmektedir.
- Çalışan Adayları: Çalışan adayı seçme süreçlerinin ve iletişim faaliyetlerinin yürütülmesi, işe uygunluğunun değerlendirilmesi amaçlarıyla işlenmektedir.
- Müşterilerin Çalışanları/ Yöneticileri/ Temsilcileri : Akdedilmiş olan sözleşmelerin kurulması ve ifası, ödeme ve tahsilat işlemlerinin gerçekleştirilmesi, , talep veya şikayetlerin sonuçlandırılması ile müşteri ilişkilerinin yönetimi, kampanya performanslarının ölçümlenmesi, pazar araştırması faaliyetlerinin yürütülmesi, hukuk süreçlerinin ve davaların takibi, resmi kurum veya kuruluşlara bilgi verilmesi veya taleplerinin yerine getirilmesi, iç kontrol, denetim ile Şirket içi ve dışı raporlama faaliyetlerinin gerçekleştirilmesi, kurumsal iletişim faaliyetlerinin yürütülmesi ve açık rızanızın bulunması halinde kişiye özel pazarlama veya tanıtım aktivitelerinin gerçekleştirilmesi ile pazarlama amacıyla veri analitiği çalışmalarının yapılması, çapraz satış aktivitelerinin gerçekleştirilmesi, kampanya, promosyon veya tanıtım süreçlerinin ve müşteri memnuniyeti veya tecrübesine yönelik aktivitelerin yürütülmesi, ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, Devotrans tarafından ve/veya Devotrans nam ve hesabına sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası, Devotrans tarafından ve/veya Devotrans nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması ve ilgili iş süreçlerinin yürütülmesi, Devotrans’ın ve Devotrans ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası amaçlarıyla işlenmektedir.
- Santral Hattı: İletişim faaliyetlerinin yürütülmesi amacıyla işlenmektedir. (Devotrans tarafından telefon görüşmeleri kayıt altına alınmıyorsa çıkarılması uygun olacaktır.)
- Ziyaretçiler : Giriş çıkış kontrolünü ve genel güvenliği sağlama amacıyla işlenmektedir.
b. Saklanmaya İlişkin Teknik ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanmasının sağlanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için Devotrans tarafından teknik ve idari tedbirler alınır.
aa. Teknik Tedbirler
- Teknik konularda bilgili personel istihdam edilmektedir.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
- Devotrans’ın bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, çalışan izleme sistemi, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulur.
- Devotrans tarafından silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurul’a bildirmek için Devotrans tarafından buna uygun bir sistem ve altyapı oluşturulur.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılır.
- Özel Nitelikli Kişisel Veri İşleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilir, gizlilik sözleşmeleri yapılır, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilir, kriptografik anahtarlar güvenli ortamlarda tutulur, tüm işlem kayıtları loglanır, ortamların güvenlik güncellemeleri takip edilir, gerekli güvenlik testleri yapılır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar için yeterli güvenlik önlemleri alınır, verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik ve gaz kaçağı, yangın, yıkım tehlikesi, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olur ve yetkisiz giriş ve çıkışları engeller.
- Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa, şifrelenmiş dosya şeklinde veya alıcının sistemi destekliyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılır. Çıkartılabilir bellekler, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur.
bb. İdari Tedbirler
- Çalışanların farkındalığının geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması hakkında eğitimler verilir.
- Devotrans tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılır.
- Kişisel Veri Envanteri hazırlanmıştır.
- Kişisel veri işlemeye başlamadan önce aydınlatma yükümlülüğü yerine getirilir.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir. Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte; Şirket ile çalışanlar arasındaki sözleşmelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır.
- Devotrans, KVKK’nın 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi esnasında veri sahiplerini bilgilendirir. İlgili kişiden elde edilmemiş olan kişisel verilerin, ilgili kişi ile iletişim amacıyla kullanılacak olması halinde ilk iletişim esnasında aydınlatma yükümlülüğü yerine getirilir.
- Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde aydınlatma yükümlülüğü ve açık rıza alınması işlemleri ayrı ayrı tatbik edilir.
C. İMHA
- tarafından KVKK’nın 7.maddesi ve Yönetmelik hükümleri gereğince kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel veriler re’sen veya ilgili kişinin talebi üzerine silinir veya yok edilir.
a. İmhayı Gerektiren Durumlar
Yönetmelik uyarınca, aşağıda sayılan hallerde ilgili kişilere ait kişisel veriler, Şirket tarafından re ’sen yahut talep üzerine silinir veya yok edilir:
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- İşlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11.maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin imha edilmesine ilişkin yaptığı başvurunun Devotrans tarafından kabul edilmesi,
- Devotrans’ın, ilgili kişi tarafından kişisel verilerinin imha edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Mevzuatta öngörülen, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
b. İmha İçin Alınan Teknik ve İdari Tedbirler
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak imha edilmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Şirket bünyesinde gerçekleştirilen kişisel veri saklama ve imha faaliyetleri denetlenmektedir.
- Alınan teknik önlemler ilgilisine raporlanmaktadır.
- Teknik konularda bilgili personel istihdam edilmektedir.
c. İmha Yöntemleri
Kişisel verilerin imhası; verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir. Veri Koruma Komitesi mevzuata uygun olarak seçenekleri değerlendirmesi sonucunda ortak bir karar alarak kişisel verinin hangi yöntem kullanılarak imha edileceğini belirler. İlgili kişinin talebi neticesinde imha işlemi yapılacaksa, ilgili kişiye seçilen imha yöntemi gerekçesi ile açıklanır.
aa. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Devotrans erişim yetki ve kontrol matrisi veya benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıları ve ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerini ve yöntemlerini tespit eder.
Fiziksel Ortamında Bulunan Kişisel Veriler: Üzeri çizilerek veya boyanarak karartma işlemi uygulanmak suretiyle silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
Elektronik Ortam’da yer alan ve saklama süresi sona eren kişisel veriler: Bu verileri depolayan, koruyan veya yedekleyen sorumlular hariç ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir, kullanıcılar bilgilendirilir. Merkezi sunucuda yer alan ofis dosyaları işletim sistemindeki silme komutu ile silinir.
Taşınabilir belleklerde kişisel veri saklanamaz.
bb. Kişisel Verilerin Yok Edilmesi
Fiziksel yok etme: Üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir. Ortamlardaki kişisel veriler kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana kağıt ortamlarda bulunan kişisel verilerin yok edilebilmesi için kâğıt imha veya kırpma makinaları ile verinin anlaşılmaz boyutta ve geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilmesi sağlanır. Orijinal kâğıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları ortama göre de-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden biri ya da birkaçı kullanılarak yok edilmesi gerekmektedir.
Veri kayıt ortamı sabit olan yazıcı, güvenlik kameraları gibi çevre birimleri: fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
6. SAKLAMA VE İMHA SÜRELERİ TABLOSU
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Devotrans İşlemleri (tüm operasyonel, ticari, teknik, idari, finansal, hukuki işlemler ve digital onaylar, e-posta vb tüm işlemler) | İşlemlerin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Bir sözleşmenin kurulması veya ifası için işlenmesi gerekli olan veya bu kapsamda işlenen diğer veriler | Türk Borçlar Kanunu gereğince Sözleşmenin sona erdiği tarihten itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kurumsal iletişim, reklam ve tanıtım faaliyetleri | Faaliyetin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan kaynaklarına ilişkin faaliyet ve süreçler | Faaliyet ve sürecin sona ermesinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanların sağlık verileri | İş Sağlığı ve Güvenliği mevzuatı gereğince işten ayrılma tarihinden itibaren 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde |
İş başvuru formları | 2 ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log kayıtları | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İlgili mevzuatında özel saklama süresi öngörülen diğer veriler | İlgili mevzuatında öngörülen saklama süresi boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Rızaya dayalı olarak işlenen kişisel veriler | İlgilinin kişisel verisinin silinmesi yönündeki talebine kadar | İlgilinin talebinden itibaren 30 gün içinde |
7. PERİYODİK İMHA SÜRELERİ:
Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Yönetmeliğin 11. maddesi gereğince Devotrans, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre Devotrans kişisel verileri silme veya yok etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler veya yok eder. Devotrans her yıl Haziran ve Aralık aylarında periyodik imha işlemini gerçekleştirir.
Silme ve yok etmeye ilişkin işlem kayıtları 3 yıl süre ile saklanır.
8. GÜNCELLEME BİLGİSİ:
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.