SİLİFKE OSB MÜDÜRLÜĞÜ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1.GİRİŞ

Türkiye Cumhuriyeti Anayasası ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) uyarınca herkes kendisiyle ilgili kişisel verilerin korunmasınıisteme hakkına sahiptir. Bu Anayasal hak ve bu doğrultudaki işveişlemleri düzenleyen 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok EdilmesiveyaAnonim Hale GetirilmesiHakkındaYönetmelik (“Yönetmelik”) ve bu kapsamda düzenlenen mevzuat dikkate alınmak suretiyle bu politika ile kişisel verilerinin korunması hususu bir kurum politikası olarak benimsenmiştir. Bu politika, veri sorumlusu olan kurumumuzun kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak olarak oluşturulmuştur.

1.1.Amaç

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Silifke Organize Sanayi Bölgesi Müdürlüğü (SilifkeOSB) tarafından gerçekleştirilmekte olan faaliyetler sırasında elde edilen verilerin saklanması ve imhasına dair prensipleri belirlemek ve Silifke OSB tarafından gerçekleştirilen kişisel verilerin yönetiminin, yukarıda belirtilen yasal düzenlemeler ve bu Politika’da belirtilen ilkeler doğrultusunda gerçekleştirilmesini sağlamak amacıyla hazırlanmıştır.

Bu politika Silifke OSB’nin, Veri Sorumlusu olarak işlemekte olduğu kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uyumlu bir şekilde saklanması ve imhasını sağlamak için izlenecek yöntem ve ilkeleri düzenlemektir. Bu itibarla, Politika, “30224 Sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik” uyarınca faaliyet alanlarını düzenlemek amacıyla hazırlanmıştır.

Silifke OSB yetkililerinin, çalışanlarının, paydaşlarının, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının ve üçüncü kişilerin işlenen tüm kişisel verileri hakkında bu politika uygulanır. Ayrıca, bu düzenlemede belirlenen usul ve esaslar Veri Sorumlusunun kişisel verileri işlemekte olduğu tüm elektronik olan ve elektronik olmayan ortamlarda geçerlidir.

1.2. Kapsam

Bu Politika; Silifke OSB tarafından gerçekleştirilen faaliyetlerde otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.

Bu politika asgari olarak;

a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,

b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,

c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,

ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknikya da diğer sebeplere ilişkin açıklamaya,

d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,

e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,

f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,

g) Saklama ve imha sürelerini gösteren tabloya,

ğ) Periyodik imha sürelerine,

h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmışise söz konusu değişikliğe ilişkin bilgileri kapsar.

1.3.Politikanın ve İlgili Mevzuatın Uygulanması

Konuya ilişkin yürürlükte bulunan yasal düzenlemeler ve politika arasında her hangi bir ihtilaf/çelişki bulunması halinde, işlemler yürürlükteki mevzuat uyarınca gerçekleştirilecektir.

1.4.Politikanin Yürürlüğü

Bu Politika yayımı itibariyle yürürlüğe girecektir.

Politika üzerinde Silifke OSB birimlerince sürdürülecek gözetimler sonucunda Politika’ya eklenmesi gündeme gelen unsurlar mevcut olur ise, bu doğrultuda güncelleme faaliyetleri gerçekleştirilecektir.

1.5.Kısaltmalar ve Tanımlar

KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu

Veri İşleyen : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinden veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi

Kişisel Veri Sahibi : Silifke OSB’nin kurumsal ilişki içinde bulunduğu çalışanları, müşterileri, iş ortakları, hissedarları, yetkilileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, işbirliği içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen gerçek kişi

İlgili Kişi : Kişisel verisi işlenen gerçek kişi

Veri Sorumlusu : Silifke OSB; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Açık Rıza :  Kişinin sahip olduğu verinin işlenmesine kendi isteği ile ya da karşı taraftan gelen talep üzerine onay vermesi

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Kişisel Veri Envanteri : Kurumumuzun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Anonim Hale Getirilmesi : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Kişisel Verilerin Silinmesi : Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi : Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

KVK Kurulu / Kurul: Kişisel Verileri Koruma Kurulu

KVK Kurumu : Kişisel Verileri Koruma Kurumu

Silifke OSB tarafından gerçekleştirilen faaliyetler sırasında elde edilen kişisel veriler KVKK mevzuatında belirtilen tedbirler dikkate alınarak hukuka uygun şekilde aşağıda belirtilen ortamlarda saklanır.

3.KİŞİSEL VERİLERİN SAKLANMASINI ve İMHASINI GEREKTİREN HUKUKİ ve TEKNİK NEDENLERE İLİŞKİN AÇIKLAMALAR

3.1Kişisel Verilerin Saklanmasina Dair Açiklamalar

Veri sahiplerine ait kişisel veriler Silifke OSB bünyesinde yürütülen faaliyetlerin hukuki ve teknik gereklilikleri nedeniyle;

• Hukuka ve dürüstlük kurallarına uygun olma,

• Doğru ve gerektiğinde güncel olma,

• Belirli, açık ve meşru amaçlar için işlenme,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkeleri çerçevesinde ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olacak şekilde saklanmaktadır.

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Silifke OSB tarafından ilgili mevzuat hükümlerine uygun tekniklerle imha edilir.

 “30224 Sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Silifke OSB’nin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

3.1.1 Kişisel Verilerin Saklanmasina Ilişkin Teknik ve Hukuki Nedenler

Veri sahiplerine ait kişisel veriler;

a. 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu kapsamda yayımlanan mevzuat,

b. Organize Sanayi Bölgeleri Kanunu,

c. 4857 sayılı İşKanunu,

d. 6098 sayılı Türk Borçlar Kanunu,

e. 6102 sayılı Türk Ticaret Kanunu

f. 4734 sayılı Kamu İhale Kanunu,

g. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

h. 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

g. 213 sayılı Vergi Usul Kanunu,

h. 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gibi hukuki düzenlemelerin öngördüğü haklar ve hukuki yükümlülükler nedeniyle;

Kurum ve ticari faaliyetlerin icrası, insan kaynakları faaliyetlerinin sürdürülmesi, çalışan yönetiminin gerçekleştirilmesi ve haklarının tesisi, sözleşmelerin oluşturulması, sözleşmeler uyarınca yükümlülüklerimizin yerine getirilmesi, finansal ilişkilerin sürdürülmesi, kurumsal iletişimin yürütülmesi, istatistiki çalışmaların yapılması, güvenlik gereklerine ilişkin işlemler, müşteri ilişkileri gibi faaliye talanlarının gereklilikleri sebebiyle bu politikada belirtilen alan ve usulle öngörülen saklama süreleri boyunca saklanmaktadır.

3.1.2 Kişisel Verilerin İmhasına İlişkin Nedenler

a. Kişisel verilerin işlenmesine ve yasaklanmasına olanak sağlayan yasal düzenlemele hükümlerinin değişmesi yahut yürürlükten kaldırılması,

b. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın sona ermesi,

c. Kanun’un 5. Maddesinde düzenlenen kişisel verilerin işlenme şartları ve 6. Maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarının ortadan kalkması.

ç. Kişisel verinin işlenmesinin ancak açık rıza şartı ile mümkün olduğu hallerde, ilgili kişinin açık rızasını geri alması,

d. Kişisel verisi işlenen gerçek kişinin, Kanun’un 11. Maddesinde düzenlenen hakları uyarınca kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilerek işlem yapılması,

e. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygunbulunması,

f. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması halleri dikkate alınarak kişisel veri talep üzerine veyahut şartların oluştuşması halinde resen silinir, yok edilir veya anonim hale getirilir.

4. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER

Veri güvenliğine ilişkin olarak, Kanunun 12. Maddesinde tarif edildiği üzere, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler aşağıda belirtilenlerle sınırlı olmamak üzere alınmaktadır.

4.1. İdari Tedbirler

Kişisel verilerin ilgili mevzuata uygun olarak yönetiminin sağlanması maksadıyla idari tedbirler aşağıda belirtilenlerle sınırlı olmamak üzere gerçekleştirilecektir:

a. Öncelikle kişisel verilerin güvenliğinin sağlanması maksadıyla, işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin “kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlalihalinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmak suretiyle gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirler alınacaktır.

b. Yukarıda söze konu edilen risklerin tanımlanması ve önceliğinin belirlenmesini takiben, risklerin azaltılmasıya da yok edilmesine yönelik kontrol ve çözüm alternatifleri, maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmek kaydıyla, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulacaktır.

c. Kişisel veri güvenliğini ihlal etmeye yönelik saldırılara ek olarak kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi kişisel veri güvenliği ihlallerini önlemek amacıyla çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları sağlanacak, çalışanlara yönelik farkındalık çalışmaları yapılacaktır.

d. Kurumumuz bünyesinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenecek ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanacaktır.

e. Saklanan kişisel verilere ancak veriye erişme yetkisi olan kişilerce erişilebilmesinin sağlanması maksadıyla gerekli yetki tanımları yapılacaktır.

f. Kişisel veri yönetiminin hukuki gerekliliklere uygun olarak gerçekleştirilmesin isağlamak amacıyla gerekli farkındalık eğitimleri verilecektir.

g. Sorumlular v eçalışanlar için bilgi güvenliği eğitimleri verilecektir.

h. Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam edilecektir.

ı. Kişisel veri yönetim döngüsünün sağlıklı şekilde yürütülmesi amacıyla belirlenmiş ve rastgele denetimler uygulanacaktır. Yapılan kontroller belgelenecek, geliştirilmesi gereken hususlar belirlenerek ve güncellemelerle birlikte düzenli olarak kontrollere devam edilecektir.

i. İşlenen kişisel verilerin hukuk dışı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum derhal kurum içi raporlama sistemi ile yetkilisiyle paylaşılaraken kısa sürede Kurul’a bildirilecektir.

j. Kişisel verilerin hukuka uygun olarak paylaşılmasının gerekli olduğu hallerde, paydaşlar ile bu verilerin korunması ve güvenliğine ilişkin protokoller oluşturulacaktır.

k. Kişisel verilerin saklanması konusunda bir hizmet alımının zorunlu olduğu hallerde, konuya dair sözleşmelerde; kişisel verilerin aktarıldığı kişilerin verilerin korunması için güvenlik tedbirlerini alıp uyulmasının temini doğrultusunda hükümler bulundurulacaktır.

l. Çalışanlarımızın, nüfuz ettikleri kişisel verileri hukuka aykırı olarak açıklayamayacağı ve işleme amacı dışında kullanamayacağı hususunda gerekli taahhütler alınacaktır.

m. Kişisel veri envanteri hazırlanacaktır.

n. Kişisel Veri Olay Bildirim Formundaki başlıklar dikkate alınarak herhangi bir olumsuzluk halinde bu başlıklarda belirtilen hususlara yanıt vermek gerekeceğinden bu durum dikkate alınarak söz konusu başlıklara ilişkin gerekli çalışma ve denetimler yapılacaktır.

4.2 Teknik Tedbirler

Kişisel verilerin ilgili mevzuata uygun olarak yönetiminin sağlanması maksadıyla başlıca teknik tedbirler aşağıda belirtilenlerle sınırlı olmamak üzere gerçekleştirilecektir:

a. Siber güvenliğin sağlanması amacıyla konuya ilişkin gerekli tedbirler alınacaktır.

b. Sızma (Penetrasyon) testleri uygulanarak kurumumuz bilişim sistemlerine yönelik risk, tehdit, zafiyetlere dair riskler tespit edilerek gerekli önlemler alınacaktır.

c. Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenecektir.

d. Kişisel veri güvenliğin takibi yapılacaktır.

e. Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanması sağlanacaktır.

f. Kişisel Veri İçerenortamların güvenliği sağlanacaktır.

g. Kişisel Verilerin Bulutta depolanması halinde verilerin bulut depolama hizmeti sağlayıcısı tarafından alınan güvenli könlemlerinin de yeterli ve uygun olup olmadığı hususunda sorgulamalar yapılacaktır.

h. Kurumumuzdan üçüncü kurumlara gönderilmek zorunda kalınan cihazlar eğer kişisel veri barındırmakta ise, bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için tedbirler alınacaktır.

ı. Gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin olarak ilgili teknik personel tarafından teknik sistemlerin denetlenmesi gerçekleştirilecek ve buna dair raporlama yapılacaktır.

i. Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

j. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.

k. Alınan teknik önlemler periyodik olarak iç denetimme kanizması gereği ilgilisine raporlanmakta, risk teşkileden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

l. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

5.KİŞİSEL VERİLERİ İMHA YOLLARI

Kişisel verilerin saklaması kapsamında ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekl olan saklama süresinin sona erdiği anlaşıldığında kişisel veriler, veri sorumlusu olan kurumumuz tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgilimevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıtaltına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

5.1 Kişisel Verilerin Silinmesi Usulleri

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgilikullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Kişisel veriler veri sorumlusu tarafından aşağıdaki yöntemlerle silinir.

Bu usullerin bir kısmı;

• Sunucularda yer alan kişisel verilerin sistem yöneticisi tarafından erişim yetkisinin kaldırılması ile silme işleminin yapılması

• Otomatik Yolla İşleme Yapan Sistemden (Yazılımdan) Silme

• Bulut Ortamından Silme

• Hizmet Alınan Birim yetkilisi Tarafından Silme

• Dijital Ortamda Bulunmayan Kişisel Verilerin Silinmesi

• Taşınabilir Ortamda Bulunan Kişisel Verileri Silme

• Fiziksel Ortamda Yer Alan Kişisel Verileri Silme

5.2 Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiçkimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel veriler veri sorumlusu tarafından aşağıdaki yöntemlerle yok edilir:

Kağıt ortamında bulunan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Kağıt ve mikro fiş ortamındaki kişisel veriler, kalıcı ve fiziksel olarak orta müzerine yazılı olduğundan ana ortamın yok edilmesigerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir.

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması yoluyla üzerindeki/taşıdığı veriler okunamaz hale getirilir.

Bulut ortamı/sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesigerekir.

Örneğin,

• Fiziksel ortamlarda bulunan kişisel verilerin fiziksel olarak yok edilmesi, kağıt kırpma makinesinden geçirme, yakılarak yok etme.

• Optik/Manyeti kalanda bulunan kişisel verilerin üzerine yazma, de-manyetize etme, eritilme, yakma, toz haline getirilmesi.

Bu hususlara ek olarak, arızalananya da bakıma gönderilen cihazlarda kişisel verilerin yer alması halinde bu verilerin ilgili yerlere gönderilmeden önce yok edilmesi gerekmektedir. Bu nedenle söz konusu kişisel verilerin yok edilmesi işlemleri aşağıdaki şekilde gerçekleştirilebilir:

a) İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,

b) Yok etmenin mümkünya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,

c) Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması, gerekir.

5.3 Kişisel Verilerin Anonim Hale Getirilmesi Usulleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için kişisel verilerin veri sorumlusu ya da üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesigerekir.

Kişisel veriler veri sorumlusu tarafından aşağıdaki yöntemlerle anonim hale getirilebilir:

1. Değer Düzensizliği Sağlamayan Anonim Hale GetirmeYöntemleri

a) Değişkenleri Çıkartma  b) Kayıtları Çıkartma  c) Bölgesel Gizleme  ç) Genelleştirme d) Alt veÜstSınırKodlama e) Global Kodlama f) Örnekleme 

2. Değer Düzensizliği Sağlayan Anonim Hale GetirmeYöntemleri

a) Mikro Birleştirme b) Veri DeğişTokuşu c) Gürültü Ekleme 

3. Anonim Hale Getirmeyi Kuvvetlendirici İstatistik Yöntemler

 a) K-Anonimlik b) L-Çeşitlilik  c) T-Yakınlık

Veri sorumlusunun görevlendirdiği ilgili kişiler yukarıdaki bahsi geçen yöntemlerden hangilerinin uygulanacağına ellerindeki verilere bakarak karar verecektirler. Anonim hale getirme yöntemleri uygulanırken sahip olunan veri kümesine dair aşağıdaki özelliklerin de veri sorumlusu ve görevlendirdiği kimseler tarafından gözönünde bulundurulması önem arz etmektedir:

a) Verinin niteliği, b) Verinin büyüklüğü, c) Verinin fiziki ortamlarda bulunma yapısı, ç) Verinin çeşitliliği, d) Veriden sağlanmak istenen fayda / işleme amacı, e) Verinin işleme sıklığı, f) Verinin aktarılacağı tarafın güvenilirliği, g) Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması, h) Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etkialanı, ı) Verinin dağıtıklık/merkezilik oranı, i ) Kullanıcıların ilgili veriye erişim yetki kontrolü, j) Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlıo lması ihtimali.

Bu hususlara ek olarak anonim hale getirilen verinin bu haliyle aktarılması gerektiğinde, anonim veriler aktarılmadan evvel söz konusu verinin yeniden bir kişiyi tanımlar nitelikte kullanılır hale gelip gelmeyeceğini durumun bu tür bir risk taşıdığını control ederek bu paylaşımı yapılması gerekmektedir.

Bu nedenle anonim hale getirilen verinin herhangi bir şekilde aktarılmasıya da bir başka çalışmada kullanılması gerekli olduğunda bu çalışma öncesinde ilgili risk çalışması ve güvenlik tedbirleri beraberinde durum veri sorumlusunun onayına sunulur.

6.SAKLAMA VE İMHA SÜRELERİ

Kişisel verileri kurumumuzca ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir. Bu kapsamda, bu politika uyarınca kurumumuz yetkililerince öncelikle ilgili mevzuatta muhafaza edilen kişisel verilerin saklanması için bir süre öngörülüp ön görülmediğini tespit edilecek, öngörülen bir süre mevcut ise bu süreye uygun olan eylem geliştirilecek, aksi halde bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanacaktır. İlgili süre sonunda ya da kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması durumunda bu veriler kurumumuz tarafından resen bu politikada belirtilen imha usullerine tabi tutulacaktır.

Buna ek olarak, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapıla bütün işlemler kayıt altına alınacak ve söz konusu kayıtlar, diğer hukuki yükümlülükle hariç olmak üzere en az üç yıl süreyle saklanacaktır.

Veri sorulmlusu tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

a. Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;

b. Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;

c.Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer almaktadır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde veri sorumlusunca alınan karar üzerine güncellemeler yapılabilir. Saklama süreleri sona eren kişisel veriler için yukarıda belirtilen yöntem uyarınca re’sen silme, yok etme veya anonim hale getirmeişlemi KVKK Komitesinde alınan kararlar uyarınca kişisel verilere uyum koordinatörünün gözetiminde yerine getirilir.

Saklama ve İmha Süreleri Tablosu

7. PERİYODİK İMHA SÜRESİ

Kurumumuz içerisinde periyodik imha süresi KVKK Yönetmeliğinin 11. Maddesi uyarınca altı ay olarak tespit edilmiştir. Bu itibarla periyodik imha her yıl Haziran ve Aralık aylarında gerçekleştirilecektir.

EK-2 Kişisel Verilerin Silinmesi Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik

https://www.resmigazete.gov.tr/eskiler/2017/10/20171028-10.htm