KVKK Saklama Ve İmha Politikası
BIO FRESH GIDA ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İçindekiler
1. GİRİŞ 1
1.1 Amaç 1
1.2 Kapsam 2
1.3 Kısaltmalar ve Tanımlar 2
2. KAYIT ORTAMLARI 3
3. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR 4
3.1 Saklama ve İmhaya İlişkin Açıklamalar 4
3.1.1 Saklamayı Gerektiren Hukuki Sebepler 4
3.1.2 Saklamayı Gerektiren İşleme Amaçları 5
3.2 İmhayı Gerektiren Sebepler 5
4. TEKNİK VE İDARİ TEDBİRLER 6
4.1 Teknik Tedbirler 6
4.2 İdari Tedbirler 7
5. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ 8
5.1 Kişisel Verilerin Silinmesi 8
5.2 Kişisel Verilerin Yok Edilmesi 8
5.3 Kişisel Verilerin Anonim Hale Getirilmesi 9
6. SAKLAMA VE İMHA SÜRELERİ 9
7. PERİYODİK İMHA SÜRESİ 9
8. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI 9
9. POLİTİKA’NIN GÜNCELLENME PERİYODU 9
10. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI 10
1. GİRİŞ
1.1 Amaç
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), BIO FRESH Gıda Anonim Şirketi
(“Biofresh/Şirket”) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve
işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
İşbu Politika, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil
düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini
kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile
silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu
Biofresh tarafından hazırlanmıştır.
1.2 Kapsam
Şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, tedarikçiler, müşteriler, ziyaretçiler ve diğer
üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Biofresh’in sahip olduğu ya da Biofresh
tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik
faaliyetlerde bu Politika uygulanır.
1.3 Kısaltmalar ve Tanımlar
Alıcı Grubu :Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza :Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale
Getirme :Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan :Kişisel Verileri Koruma Kurumu personeli.
EBYS :Elektronik Belge Yönetim Sistemi
Elektronik Ortam :Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği,
değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan
Ortam :Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb.
Hizmet Sağlayıcı :Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet
sağlayan gerçek veya tüzel kişi.
İlgili Kişi :Kişisel verisi işlenen gerçek kişi.
İmha :Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun :6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı :Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu
her türlü ortam.
Kişisel Veri :Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme
Envanteri :Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları
kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi,
veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek
oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza
edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine
ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin
İşlenmesi :Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması
ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü
işlem.
Kurul :Kişisel Verileri Koruma Kurulu
Özel Nitelikli
Kişisel Veri :Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel
hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileri. Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının
tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında
belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya
anonim hale getirme işlemi.
Politika :Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen :Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel
verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi :Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sorumlusu :Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasında ve yönetilmesinden sorumlusu gerçek veya tüzel kişi
Veri Sorumluları
Sicil Bilgi :Sistemi Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer
işlemlerde kullanacakları, internet üzerinden erişilebilen Başkanlık tarafından
oluşturulan ve yönetilen bilişim sistemi
VERBİS :Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik :28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi,
Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
2. KAYIT ORTAMLARI
Kişisel veriler, Biofresh tarafından listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde
saklanır.
Kişisel Veri Saklama Ortamları;
Elektronik Ortamlar
Sunucular (Etki alanı, yedekleme, eposta, veritabanı, web, dosya paylaşım, vb.)
Yazılımlar (ofis yazılımları, portal vb.)
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs
vb.)
Kişisel bilgisayarlar (Masaüstü, dizüstü vb.)
Mobil cihazlar (telefon, tablet vb.)
Optik diskler (CD, DVD vb.)
Çıkartılabilir bellekler (USB, Hafıza kartı vb.)
Yazıcı, tarayıcı, fotokopi makinesi vb.
Elektronik Olmayan Ortamlar
Kağıt
Manuel veri kayıt sistemleri (anket formları vb.)
Yazılı, basılı, görsel ortamlar
3. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Biofresh tarafından; çalışanlar, çalışan adayları, müşteriler, ziyaretçiler, hizmet sağlayıcı ve diğer
üçüncü kişiler olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait
Kişisel Veriler Kanun’a uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir
3.1 Saklama ve İmhaya İlişkin Açıklamalar
Kanun’un 3’üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4’üncü maddesinde
işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta
öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve
6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Biofresh’in faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme
amaçlarımıza uygun süre kadar saklanır.
3.1.1 Saklamayı Gerektiren Hukuki Sebepler
Biofresh’de, Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre
kadar muhafaza edilir. Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
4734 sayılı Kamu İhale Kanunu,
657 sayılı Devlet Memurları Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen
Suçlarla Mücadele Edilmesi Hakkında Kanun,
5018 sayılı Kamu Mali Yönetimi Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
2547 sayılı Yükseköğretim Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Arşiv Hizmetleri Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama
süreleri kadar saklanmaktadır.
3.1.2 Saklamayı Gerektiren İşleme Amaçları
Biofresh, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda
saklar.
Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle
saklanması
Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması
Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru
menfaatleri için saklanmasının zorunlu olması
Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması
Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi
Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin
açık rızasının bulunması
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü
Çağrı merkezi süreçlerini yürütmek
İnsan kaynakları süreçlerini yürütmek
3.2 İmhayı Gerektiren Sebepler
Kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık
rızasını geri alması,
Kanun’un 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok
edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi
talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da
öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul
tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun
süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Biofresh tarafından
ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
4. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin
önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12’nci maddesiyle
Kanun’un 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından
belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
4.1 Teknik Tedbirler
Biofresh tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Sızma (Penetrasyon) testleri ile Şirketimiz’in bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa
açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin
sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal
aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
Şirket’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler
alınmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına
sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel
alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi,
iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim
kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun
teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz
çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya
erişim denemeleri kontrol altında tutulmaktadır.
Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için
gerekli tedbirleri almaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili
kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel
halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri
kullanılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre
sınırlandırılmaktadır.
Şirket internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA
algoritmasıyla şifrelenmektedir.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri
güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip
kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar
kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda
tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip
edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt
altına alınması,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli
güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta
adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar
yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı
ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa,
sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kâğıt
ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından
görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
4.2 İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin
önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin
muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657 sayılı Kanun ve ilgili diğer
mevzuat hakkında eğitimler verilmektedir.
Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın,sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü
hazırlanmıştır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine
getirilmektedir.
Erişim bilgi güvenliği kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve
uygulamaya başlanmıştır.
Kişisel veri işleme envanteri hazırlanmıştır.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi
sağlanmaktadır.
5. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda
kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat
hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
5.1 Kişisel Verilerin Silinmesi
Kişisel veriler Tablo-1’de verilen yöntemlerle silinir.
Tablo 1: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre
sona e
renler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi
kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel VerilerElektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren
süre sona erenler,
veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre
sona erenler için evrak
arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir
şekilde erişilemez ve tekrar kullanılamaz hale getirili
r. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek
karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden
saklanmasını
gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek
ve erişim yetkisi sadece sistem yöneticisine
verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
5.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Şirket tarafından Tablo-2’de verilen yöntemlerle yok edilir.
Tablo 2: Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler Kağıt ortamında yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler,
kağıt kırpma makinelerinde geri döndürülemeyecek
şekilde yok edilir.
Optik/ Manyetik Medyada Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel
verilerden saklanmasını gerektiren süre sona erenlerin
eritilmesi,
yakılması veya toz haline getirilmesi gibi fiziksel olarak
yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya
özel bir cihazdan geçirilerek yüksek değerde manyetik
alana maruz bırakılması suretiyle üzerindeki veriler
okunamaz hale getirilir.
5.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler
tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili
faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
6. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri
bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi
yerine getirilir.
Tablo 3: Süreç bazında saklama ve imha süreleri tablosu
SÜREÇSAKLAMA SÜRESİ İMHA SÜRESİ
Sözleşmelerin hazırlanması 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket iletişim faaliyetlerinin icrası Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan kaynakları süreçlerinin yürütülmesi Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log kayıt takip sistemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve yazılıma erişim süreçlerinin yürütülmesi 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera kayıtları 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
7. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna
göre, Şirket’te her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
8. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır,
internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Mali ve İdari İşler Departmanı’nda,
dosyasında saklanır.
9. POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
10. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirket’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Yönetim
Kurulu tarafından karar alınarak iptal edilir. İptal edilen Politika, ilgili departmanda en az 5 yıl süre ile
saklanır.