YUVALUNA | GİZEM ONAY

 

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

1. GİRİŞ VE POLİTİKA'NIN HAZIRLANMA AMACI

Yuvaluna Kişisel Veri Saklama ve İmha Politikası (“Saklama ve İmha Politikası”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemeleri esas alınarak Şirketimiz Kişisel Verileri Koruma Politikası’nın 16. maddesinin eki mahiyetinde hazırlanmıştır. 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Şirketimiz tarafından hazırlanmıştır.

2. TANIMLAR

Anonim Hale Getirme

 

:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Aydınlatma Metni

:

Kişisel verinin hangi amaçla ne kadar süre saklanacağı, hangi yöntemle toplandığı, nasıl muhafaza edildiği ve 3. kişilerle paylaşılıp paylaşılmayacağı hususlarında ilgili kişiye yapılan açıklama

Başkanlık

:

Kişisel Verilerin Korunması Kurumu Başkanlığı

Envanter

:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

İlgili Kişi

:

Kişisel verisi işlenen gerçek kişi

İmha

:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun/KVKK

:

Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı

:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin İşlenmesi

:

Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması işlemleri

Kişisel Verilerin Silmesi

:

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kişisel Verilerin Yok Edilmesi

:

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Kurul

:

Kişisel Verilerin Korunması Kurulu

Kurum

:

Kişisel Verilerin Korunması Kurumu

Özel Nitelikli Kişisel Veri

:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha

:

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

VERBİS

:

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Veri İşleyen

:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Sorumlusu

:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Sorumluları Sicili

:

Başkanlık tarafından tutulan Veri Sorumluları Sicili

Veri Sorumlusu İrtibat Kişisi

:

Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi

Yönetmelik

:

28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

 

3. İLKELER

  1. Şirketimiz tarafından Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ve aşağıda yer verilen ilkeler çerçevesinde hareket edilmektedir:
    • Kişisel veriler, ancak KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

1.2. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması KVKK gereği zorunludur:

1.2.1. Hukuka ve dürüstlük kurallarına uygun olma.

1.2.2. Doğru ve gerektiğinde güncel olma.

1.2.3. Belirli, açık ve meşru amaçlar için işlenme.

1.2.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

1.2.5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

  1. Yukarıda yer verilen ilkelere uyum bakımından ise Şirketimiz olarak Veri Sorumlusu sıfatı ile veri güvenliğine ilişkin KVKK’da yer alan hükümlere uygun davranılmaktadır.
  2. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirketimizce belirlenmektedir.
  3. KVKK’nın 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirketimiz tarafından re’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirketimiz’e başvurulması halinde;
  • yuvaluna.com/KVKK internet sitesinde yer alan başvuru formu ile iletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
  • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

 

4. SAKLAMA VE İMHAYI GEREKTİREN NEDENLERE DAİR AÇIKLAMALAR

Veri sahiplerine ait kişisel veriler, Şirketimiz tarafından; ticari faaliyetlerin sürdürülebilmesi, elde ettiği kişisel verilerin elde edilme amacına uygun olarak kullanması, yasal yükümlüklerini yerine getirmesi, hizmet kalitesinin artırılması, hukuki taahhütlerinin ifası, çalışan haklarının düzenlenmesi,  müşteri veya tedarikçi ilişkilerinin yönetilebilmesi ve/veya saklama arşiv yükümlülüklerinin yerine getirilmesi, amacıyla fiziki ve/veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde işlenmekte, saklanmakta ve imha edilmektedir.

 

  • Kişisel verilerin saklanmasını gerektiren sebepler
  1. Sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
  2. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  3. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için saklanmasının zorunlu olması,
  4. Kişisel verilerin Şirketimizin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  5. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  6. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
  • Kişisel Verilerin İmhasını Gerektiren Sebepler

Şirketimiz tarafından kişisel veriler aşağıdaki sebeplerle ilgili mevzuat kapsamında re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir: 

  1. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
  2. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  3. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  4. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  5. İlgili kişinin, Kanun’un 11. maddesinin(e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  6. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  7. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

5. SAKLAMA VE İMHA SÜRELERİ

Şirketimiz bünyesinde kişisel veriler ve özel nitelikli kişisel veriler bakımından bir sınıflandırma yapılmakta ver her bir tip kişisel veri için saklama ve imha süreci belirlenmektedir.

  1. Yasal yükümlülükler dikkate alınmakta ve herhangi bir kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilmektedir.
  2. Şirketin yasal olarak bir kişisel veriyi tutması gereken asgari sürenin üzerinde bir süre o kişisel veriye ticari faaliyetini sürdürmek ve/veya herhangi bir istisnai ihtiyaç söz konusu ise o kişisel veri özelinde imha süresi daha uzun bir süre olarak belirlenir ve Aydınlatma ve/veya Açık rıza metninde bu husus detaylı olarak belirtilir. Söz konusu sürenin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
  3. Saklama süresi dolan kişisel veriler, ilgili ekte yer alan süreler esas alınarak, 6 aylık periyodlarla işbu “Saklama ve İmha Politikası”nda yer verilen usullere uygun olarak imha edilir.
  4. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en azüç yıl süreyle saklanır.

6. KİŞİSEL VERİLERİN ŞİRKETİMİZ TARAFINDAN SAKLANMASI VE İMHASI USÜLLERİ

 I. KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, Şirketimiz tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

Elektronik ortamlar:

  • E-posta
  • Bilgisayar
  • Yazılım veya Uygulamalar

Fiziksel ortamlar:

  • Ofis İçi kilitli dolaplar
  • Kilitli Arşiv
  • Klasörler

II. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Şirketimiz tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:

1. İDARİ TEDBİRLER

Şirketimiz idari tedbirler kapsamında;

  1. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  2. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  3. Çalışanlar için yetki matrisi oluşturulmuştur.
  4. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  5. Gizlilik taahhütnameleri yapılmaktadır.
  6. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  7. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  8. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  9. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  10. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  11. Kişisel veri güvenliğinin takibi yapılmaktadır.
  12. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  13. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  14. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  15. Kişisel veriler mümkün olduğunca azaltılmaktadır.
  16. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  17. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

2. TEKNİK TEDBİRLER

Şirketimiz teknik tedbirler kapsamında;

  1. Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  2. Erişim logları düzenli olarak tutulmaktadır.
  3. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  4. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  5. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  6. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  7. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  8. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  9. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

III. KİŞİSEL VERİLERİN İMHA USÜLLERİ

Şirketimiz tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Şirketimiz tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

  1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri:

Şirketimiz tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır: 

Sistemlerden Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır. 

Sistemde bulunan ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

  • Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
  • Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

Fiziksel Ortamda Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.

Şirket içerisinde elden çıkarılacak olan teçhizat bakımından öncelikle teçhizat üzerinde kişisel veri olabilecek herhangi bir bilgi olup olmadığı kontrol edilmelidir. Üzerinde kişisel veri olan teçhizatlar için birimler (disk, harici bellek, vs.) donanımlar sökülerek yedek parça olarak kullanıma alınmalıdır.

 Depolama cihazının içerdiği bilginin bir daha okunamaması için klasik silme veya format işlemlerinin ötesinde yeterli düzeyde işlem yapılmalıdır.

  • Elden çıkarılmak istenen teçhizat aktif cihaz ise (modem, switch, router vb.) default ayarlara getirilerek elden çıkarılır.
  • Eğer kritik bilgi herhangi bir medya üzerindeyse (CD, DVD vb.) ortam kırılarak imha edilebilir.
  • Gizlilik dereceli bilgi içeren, ama geçersizleşmiş, hatalı basılmış, kullanılmayacak olan tüm kâğıtlar, kağıt imha makinesi kullanılarak ve/veya tutanak altına alınmak suretiyle yakılarak imha edilir.
  • Elden çıkarılan teçhizat mutlaka envanter listesinden düşürülmelidir.
  • İçerisinde bilgi barındırma yeteneği olmayan teçhizatlar zimmet ve envanterden çıkarıldıktan sonra ihtiyaca göre istenildiği gibi kullanılabilir.

Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.

Yukarıda sayılan durumlar gerçekleşmesi sırasında Şirketimiz; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

7. SAKLAMA VE İMHA USÜLLERİ

Şirket tarafından işlenen verilere ait saklama ve imha sürelerine VERBİS’te ve Kişisel Veri İşleme Envanteri’nde tespit edilerek yer almaktadır.

8. DİĞER HUSUSLAR

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

 
#
Tamam