KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
1. AMAÇ
Kişisel Verilerin Saklaması ve İmha Politikası, firmamız tarafından kişisel verileri işlenen; vatandaş, kurum çalışanları, çalışan adayları, hizmet sağlayıcılar, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C.Anayasası, uluslar arası sözleşmeler,6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuatlar tarafından getirilmiş ilke ve kurallara uymayı ve firma tarafından verileri işlenen bireylerin hak ve özgürlüklerini koruyarak saklanması ve imha edilmesine ilişkin iş kurallarının belirlenmesini ve duyurulmasını amaçlamaktadır.
2. KAPSAM
Vatandaşlar, kurum çalışanları, çalışan adayları, hizmet sağlayıcılar, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamındadır. Kurumun sahip olduğu ya da kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu politika uygulanır.
3. YETKİ VESORUMLULUKLAR
Kurum içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin saklanması ve imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve diğer surette kurum nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.
KVK Kurulu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu “Veri Sorumlusu İrtibat Kişi” sindedir.
4. TANIMLAR VEKISALTMALAR
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli ve ya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Firmamız personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
ElektronikOlmayanOrtam:Elektronikortamlarındışındakalantümyazılı,basılı,görselvb. diğerortamlar.
Hizmet Sağlayıcı: Firmamız ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve desteklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, verikategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi,yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinselhayatı,cezamahkûmiyetivegüvenliktedbirleriyleilgiliverileriilebiyometrikvegenetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil BilgiSistemi (VERBİS):VerisorumlularınınSicilebaşvurudaveSicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, KVK Kurumu tarafından oluşturulan ve yönetilen bilişimsistemi.
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
5. KİŞİSEL VERİ SAKLAMA VE İMHAPOLİTİKASI
Firmamız tüm Müdürlükleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarakişlenmesininönlenmesi,kişiselverilerehukukaaykırıolarakerişilmesininönlenmesive kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destekverir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
UNVAN | GÖREV TANIMI |
Veri Sorumlusu İrtibat Kişisi | Veri sorumlusu adına KVKK da belirlenmiş usul ve esaslar çerçevesinde yapılması gereken iş ve işlemleri tasarlamak, planlamak, gerçekleştirmek ve ilgiliaksiyonları organize etmek, denetimleri sağlamak irtibat kişisinin başlıcagörevleri olarak tanımlanmıştır. |
Arşiv Görevlisi | Arşivde muhafaza edilen kişiselverilerin işlenmesi, saklanması, silinmesi, imha edilmesi ve anonim hale getirilmesi süreçlerini yürütülmesi başlıca görevleri olarak tanımlanmıştır. |
6. KAYITORTAMLARI
Kişisel veriler, firmamız tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
ELEKTRONİK ORTAMLAR | ELEKTRONİK OLMAYAN ORTAMLAR |
– Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım,vb.) – Yazılımlar(Yönsis, EBYS,Netcad) – Bilgi güvenliği cihazları (güvenlik duvarı, antivirüsvb.) – Kişisel bilgisayarlar (Masaüstü,dizüstü) – Mobil cihazlar (telefon, tabletvb.) – Optik diskler (CD, DVDvb.) – Çıkartılabilir bellekler (USB,Hafıza Kartvb.) | Kâğıt, yazılı, basılı, görsel ortamlar. |
7. KİŞİSEL VERİLERİNSAKLANMASI
Firmamız tarafından; vatandaşlar, çalışanlar, ziyaretçiler ve hizmet sağlayıcı olarak ilişkidebulunulanüçüncükişilerin,kurumlarınveyakuruluşlarınçalışanlarınaaitkişiselveriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanununun (KVKK) 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerinde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre firmamızda, faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamaktadır.
7.1SAKLAMAYI GEREKTİREN HUKUKİSEBEPLER
- 3194 SAYILI İMARKANUNU,
- 4734 SAYILI KAMU İHALEKANUNU,
- 6183 SAYILI AMME ALACAKLARININ TAHSİL USULÜ HAKKINDAKANUN,
- 5490 SAYILI NÜFUS HİZMETLERİKANUNU,
- 7201 SAYILI TEBLİGATKANUNU,
- 1319 SAYILI EMLAK VERGİSİKANUNU,
- 2981 SAYILI İMAR AFFI YASASI KAPSAMINDAKİ İMARUYGULAMALARI,
- 2886 SAYILI DEVLET İHALEKANUNU,
- 3071 SAYILI DİLEKÇE HAKKININ KULLANILMASINA DAİRKANUN,
- 657 SAYILI DEVLET MEMURLARIKANUNU,
- 4904 SAYILI TÜRKİYE İŞ KURUMUKANUNU,
- 2863 SAYILI KÜLTÜR VE TABİAT VARLIKLARIN KORUMAKANUNU,
- 213 SAYILI VERGİ USULKANUNU,
- 3195/3196/3197/3198/3199/3200/3201 SAYILI İMAR KANUNU,
- 3308 SAYILI MESLEKİ EĞİTİMKANUNU,
- 4483 SAYILI MEMURLAR VE DİĞER KAMUGÖREVLİLERİN YARGILANMASI HAKKINDAKANUN,
- 4708 SAYILI YAPI DENETİM HAKKINDAKANUN,
- 9464 SAYILI ENGELLİLER HAKKINDAKANUN,
- 4857 SAYILI İŞ KANUNU,
- 4982 SAYILI BİLGİ EDİNMEKANUNU,
- 5393 SAYILI BELEDİYEKANUNU,
- 5580 SAYILI ÖZEL ÖĞRETİM KURUMLARKANUNU,
- 9207 SAYILI İŞYERİ AÇMA VE ÇALIŞMA RUHSATLARINAİLİŞKİN YÖNETMELİK
- 5651 SAYILI İNTERNET ORTAMINDA YAPILANYAYINLARIN
DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN ŞUÇLARLA MÜCADELE EDİLMESİ HAKKINDA KANUN,
- 6306 SAYILI AFET RİSKİ ALTINDAKİ ALANLARIN DÖNÜŞTÜRÜLMESİ HAKKINDAKANUN,
- 6321 SAYILI RESMİ YAZIŞMALARDA UYGULANACAK USUL VE ESASLAR HAKKINDAYÖNETMELİK,
- 6331 SAYILI İŞ SAĞLIĞI VE GÜVENLİĞİKANUNU,
- 5442 SAYILI İL İDARESİKANUNU,
- 4735 SAYILI KAMU İHALE SÖZLEŞMELERİKANUNU,
- 5199 SAYILI HAYVANLARI KORUMAKANUNU,
- 7189 SAYILI BİLGİ EDİNME HAKKI KANUNUN UYGULAMASINAİLİŞKİN ESAS VE USULLER HAKKINDAYÖNETMELİK,
- 3359 SAYILI SAĞLIK HİZMETLERİ TEMELKANUNU,
- 1593 SAYILI UMUMİ HIFZISSIHHAKANUNU,
- 1219 SAYILI TABABET VE ŞUABATI SAN’ATLARININ TARZIİCRASINA DAİRKANUN,
- 5326 SAYILI KABAHATLERKANUNU,
- SAİR İLGİLİMEVZUATLAR.
7.2 SAKLAMAYI GEREKTİREN İŞLEMEAMAÇLARI
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin YerineGetirilmesi,
- Adres Bilgilendirme Süreci,
- Bilgilendirme FaaliyetlerininYürütülmesi,
- Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme SüreçlerininYürütülmesi,
- Çalışan Adaylarının Başvuru SüreçlerininYürütülmesi,
- Çalışan kayıtlarınsaklanması,
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin YerineGetirilmesi,
- Denetim / Etik FaaliyetlerininYürütülmesi,
- Dilekçe Başvurusu FaaliyetlerininYürütülmesi,
- Doğal Afet riski altındaki alanlar ve Riskli Binalarla ilgili faaliyetlerinyürütülmesi,
- Dosyaların muhafazaedilmesi,
- Emlak ve İmar BorcuBilgilendirmesi,
- Emlak ve İstimlak İşlemlerinin FaaliyetlerininYürütülmesi,
- Emlak Vergisi Sicil No SorgulamaSüreçleri,
- Erişim YetkilerininYürütülmesi,
- Evlilik İşlemleri FaaliyetlerininYürütülmesi,
- Evrak Kayıt FaaliyetlerininYürütülmesi,
- Faaliyetlerin Mevzuata UygunYürütülmesi,
- Fiziksel Mekân GüvenliğininTemini,
- Görevlendirme SüreçlerininYürütülmesi,
- Güncel İmar DurumuBilgilendirilmesi,
- Hasta Nakil Ambulansı Hizmetlerinin Yürütülmesi,
- Hukuk İşlerinin Takibi veYürütülmesi,
- İletişim FaaliyetlerininYürütülmesi,
- İlgilinin Hak ve Menfaat Süreç FaaliyetlerininYürütülmesi,
- İmar Uygulaması ve Düzenleme Ortaklık Payı FaaliyetlerininYürütülmesi,
- İmar Uygulaması ve Düzenleme Ruhsatlandırma FaaliyetlerininYürütülmesi,
- İmar Yapı Ruhsat Süreci FaaliyetlerininYürütülmesi,
- İş Faaliyetlerinin Yürütülmesi /Denetimi,
- Kat Mülkiyet Süreci FaaliyetlerininYürütülmesi,
- Koruma, Uygulama ve Denetim Onarım Ön İzin Süreci FaaliyetlerininYürütülmesi,
- Kurs Kayıt AktivitelerinYürütülmesi,
- Kütüphane Kayıt Faaliyetlerinin Yürütülmesi,
- Mal / Hizmet Satın Alım SüreçlerininYürütülmesi,
- Ön İnceleme, İnceleme, Araştırma ve şikâyet işlemlerininyürütülmesi,
- Planlı Alanlar İmar Süreci FaaliyetlerininYürütülmesi,
- Riskli Yapı Denetim Süreci FaaliyetlerininYürütülmesi,
- Ruhsat Başvuru Süreci FaaliyetlerininYürütülmesi,
- Ruhsat Bilgilendirme SüreçlerininYürütülmesi,
- Ruhsat ve Denetim Müdürlüğüne Ait Bilgilendirme SüreciFaaliyetlerinin Yürütülmesi,
- Sağlık Hizmetleri FaaliyetlerininYürütülmesi,
- Sosyal Yardım ve Organizasyon FaaliyetlerinYürütülmesi,
- Tadilat Ruhsatlandırma Süreci FaaliyetlerininYürütülmesi,
- Talep / ŞikâyetlerinTakibi,
- Teftiş Kurulu Süreci FaaliyetlerininYürütülmesi,
- Vergisel İşlemlerin Süreç FaaliyetlerininYürütülmesi,
- Yapı Kullanma İzin Belgesi Faaliyetlerinin Yürütülmesi,
- Yatırım SüreçlerininYürütülmesi,
- Ziyaretçi Kayıtlarının Oluşturulması ve Talep ŞikâyetlerininTakibi,
- Çağrı Merkezi Üzerinden Alınan Kayıtların, Şikâyetlerin, Taleplerin OluşturulmasıVe Takibi.
8. İMHAYI GEREKTİRENSEBEPLER
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinindeğiştirilmesi,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- KVKK 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun firma tarafından kabuledilmesi,
- Firma ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi
hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişiselverilerinsaklanmasınıgerektirenazamisüreningeçmişolmasıvekişiselverileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, firma tarafından ilgili kişinin talebi üzerine silinir, yokedilir ya da re’sen silinir, yok edilir veya anonim halegetirilir.
9. KİŞİSEL VERİLERİN GÜVENLİĞİNİNSAĞLANMASI
Firmamız, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
KVKK’nın 12. maddesinin 1. bendinde öngörülen;
- Kişisel verilerin hukuka aykırı olarak işlenmesiniönlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesiniönlemek,
- Kişisel verilerin muhafazasını sağlamak, adına gerekli tedbirlerinialmaktadır.
Firmamızın kişisel verilerin güvenliğini sağlamak için uyguladığı tedbirler alt maddelerde detaylandırılmıştır.
9.1 TEKNİKTEDBİRLER
Firma,verigüvenliğinisağlamakamacıylapersonelineKişiselVerilerinKorunması Kanunu bilincinde olunması için gerekli faaliyetlerin koordinasyonunu sağlar. Kurulan sistemler kapsamında veri sınıflandırması süreçlerini işletir. Bu süreçler doğrultusunda teknolojideki gelişmelere uygun teknik önlemler alınmaktadır. Gelişen teknolojiye uygun altyapıyatırımlarıyapılır.Virüskorumasistemlerivegüvenlikduvarlarınıiçerenyazılımlarve donanımların kurulmasını sağlar. Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonlarını kullanır ve sistemlerin log kayıtları alınır. Bilgi teknolojileri birimlerinde çalışanların, kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar. Firma en az yetki prensibine göre kişisel veriye erişim kısıtlamaları gerçekleştirir. Müdürlük ve süreç gerekliliklerine uygun olarak erişim ve yetkilendirme tanımlarınıyapar. Erişimlerin yetkilendirmelere uygunluğunu kontrol eder. Sistemlerin güvenliğinin kontrol edilmesi sonucu elde edilen bilgileri ilgililere raporlar. Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır. Kişisel Verilerin güvenliğinin sürdürülebilmesi için teknik tedbirleri sürekli işleyen bir model ile kurum kültürünün bir parçası olması için farkındalığı yaygınlaştırır. Alınan tedbirlerin kontroller ile sürekli yaşatılmasını sağlar. Kurum bünyesinde kamera sistemleri ile fiziksel güvenlik önlemleri üst seviyede tutulur. Kişisel verilerin tutulduğu dijital ortamların ortam izlemeleri, otomatik yangın söndürme sistemleri ve erişim yetki kontrollerisağlanır.
9.2 İDARİTEDBİRLER
Firmakişiselverileringüvenliğinisağlamakamacıilegerekliidaritedbirlerialırve çalışanlarınbutedbirleregöreçalışmalarınıdenetler.Müdürlükvesüreçgerekliliklerineuygun olarak erişim yetkilendirmelerini iş süreçlerinin aksamasına neden olmayacak düzeyde tanımlar. Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Üçüncü taraflarla kişisel verilerin paylaşılmasıyla ilgiliolarakkişiselverilerinpaylaşıldığıkişilerlegizliliksözleşmesiimzalaryahutsözleşmelere ekleyeceği hükümler ile kişisel veri güvenliğini sağlar. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabuleder.
9.3 Kişisel Verilerin Korunmasının Sürdürülebilirliği İçin YapılanDenetimler
Firma, KVK Kanunu’nun 12. maddesine uygun olarak, gerekli denetimleri yapar veya yaptırır. Bilgi işlem tarafından sistemler düzenli olarak izlenir. Yönetim sistemleri denetimleriveriskanalizisonrasıeldeedilenbulgularıngiderilmesiiçingerekliteknikveidari tedbirleralınır.
9. 4 Üçüncü Tarafların Kişisel Verilerin Korunmasını Sağlaması İçin Uygulanan Tedbirler
Firma, üçüncü taraflar ile yaptığı sözleşmelerde; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik gerekli yaptırım maddelerini karşılıklı olarak bulundurur. Üçüncü taraflar ile bilgi paylaşımı yapılmadan önce gizlilik sözleşmeleri imzalanır. Üçüncü taraflara farkındalığın artırılması için gerekli bilgilendirmeler yapılır.
9.5 Özel Nitelikli Kişisel Verilerin Koruması İçin UygulananTedbirler
Özelniteliklikişiselverileriçingereknitelikleriitibariilegereksekişilerinmağduriyetineveya ayrımcılığa yol açabilmesinden dolayı yeterli önlemlerin alınması gerekmektedir. KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler “Özel Nitelikli” olarakbelirlenmiştir.
Buveriler;ırk,etnikköken,siyasidüşünce,felsefiinanç,din,mezhepveyadiğerinançlar,kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetikverilerdir.
Firma, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında gerekli tedbirleri almaktadır. Kişisel verileri korumak için alınan teknik ve idari tedbirlerde özel nitelikli kişisel veriler için hassasiyet gösterilmektedir.
9.6 Kişisel Verilerin Korunmasının Sağlanması İçin Farkındalığın Yaratılması
Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeyeveverilerinmuhafazasınısağlamayayönelikfarkındalığınartırılmasıiçinçalışanlara gerekli bilgilendirmeler yapılmakta, eğitimler düzenlenmekte ve etkinlikleri ölçülmektedir. “Kişisel Verilerin Korunması ve İşlenmesi Politikası” ile ilgili diğer dokümanlar, kurumumuzun web sitesinde yayınlanmıştır.
İlgili kanun, yönetmelik ya da mevzuatlarda değişiklik olması halinde politikalar revize edilmekte ve ilgililerine tekrardan duyurulmaktadır.
I. KİŞİSEL VERİLERİ İMHATEKNİKLERİ
Firmaeldeettiğikişiselverileri,kişiselverisahiplerinintalebidoğrultusunda,yasal zorunluluklar nedeniyle veya kamu düzeninin korunması için kullanması zorunlu değilse ve iş süreçlerini etkilememesi şartıyla imha eder. Veri sahiplerine ait kişisel veriler, hizmetlerin devam ettirilebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının veyan haklarınınplanlanmasıgereklilikleriortadankalktığındakurumunalacağıkararaistinadenimha edilmektedir.HeryılVeriSorumlusuİrtibatKişisininbelirlediğitarihlerdesaklanmasınagerek görülmeyen kişisel veriler mevzuata uygun olarak aşağıda belirtilen tekniklerle imhaedilir.
II. KİŞİSEL VERİLERİNSİLİNMESİ
Kişisel verilerin silinme yöntemleri aşağıdaki tabloda belirtilmiştir.
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanma süreleri sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronikortamdayeralankişiselverilerden saklanma süreleri sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemezve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanma süreleri sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartmaişlemi deuygulanır. |
III. KİŞİSEL VERİLERİN YOKEDİLMESİ
Kişisel verilerin yok edilmesi aşağıdaki tabloda belirtilmiştir.
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanma süreleri süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yokedilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanma süreleri sona erenler geri döndürülemeyecek şekilde fiziksel olarak okunamaz hale getirilir. |
IV. KİŞİSEL VERİLERİN ANONİM HALEGETİRİLMESİ
Kişiselverilerinanonimhalegetirilmesi,kişiselverilerinbaşkaverilerleeşleştirilsedahihiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncükişilertarafındangeridöndürülmesive/veyaverilerinbaşkaverilerleeşleştirilmesigibi kayıtortamıveilgilifaaliyetalanıaçısındanuyguntekniklerinkullanılmasıyoluyladahikimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesigerekir.
V. SAKLAMA VE İMHA SÜRELERİ
Firma tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşlemeEnvanterinde,
- Veri kategorileri bazında saklama süreleri VERBİS’ekayıtta,
- Söz konusu saklama süreleri üzerinde,
gerekmesi halinde Kişisel Veri İrtibat Kişisi tarafından, güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re ’sen imha edilir. Kişisel verilerin saklanma süreleri aşağıdaki tabloda belirtilmiştir.
KİŞİSEL VERİ KAYNAĞI | SÜRE | YASAL DAYANAK |
Çağrı Merkezi Ses Kayıtları | 3 Yıl | 6563 Sayılı Kanun ve İlgili Mevzuat |
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar | 10 Yıl | 6102 Sayılı Kanun, 213 Sayılı Kanun |
Çerezler ve LogKayıtları | 6 Ay – En Fazla 2 Yıl | 5651 Sayılı İnternet Kanunu |
Ticari Elektronik Mail Onay Kayıtları | Onayın geri alındığı tarihten itibaren 1 Yıl | 6563 Sayılı Kanun ve İlgili Mevzuat |
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri | 2 Yıl | 5651 Sayılı Kanun |
Ticari İlişkilerdeki Kişisel Veriler | 6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl, Hukuki ilişki son erdikten sonra 10 Yıl. | 6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
Tedarikçilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten sonra 10 Yıl | 6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
Kişisel Verileri Koruma Kurulu İşlemleri | 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Sözleşmeler | Sözleşmenin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kurum İletişim Faaliyetleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İnsan Kaynakları Süreçleri | Faaliyetin Sona Ermesinden İtibaren 10 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Donanım ve Yazılıma Erişim Süreçleri | 2 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Ziyaretçive Toplantı Kullanıcıların Kaydı | Etkinliğin Sona ermesinden İtibaren 2 Yıl | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kamera Kayıtları | 30 Gün | KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötü niyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu |
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) | İş İlişkisinin sona ermesinden itibaren 15 Yıl | 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat |
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri | İş İlişkisinin sona ermesinden itibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Firma ve YönetimKurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri vb.) | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
Firma Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) | Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz | 6102 Sayılı Türk Ticaret Kanunu |
Burs ödemesi / Çalışan Avans Ödemesi | 10 Yıl | 6102 Sayılı Türk Ticaret Kanunu |
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, İş Mektubu, Başvuru Formu vb.) | 1 Yıl | Sektörel teamüller geçerli. |
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler | 10 Yıl | 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi |
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.) | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Sektörel Teamül |
Çalışan Memnuniyet Anketlerine İlişkin Veriler | Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl | Sektörel Teamül |
Firma Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Genel Kurul İşlemleri Uyarınca İşlenen Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Firmanın Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkinKişisel Veriler | 10 Yıl | 6102 sayılı Türk Ticaret Kanunu |
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler | 3 Yıl | 27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları | 1 Yıl | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler | 1 Yıl | 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Belediye Yetkilisi, Ad Soyad, imzasirküleri vb.) | Sözleşmenin Sona Ermesine Müteakip 10 Yıl | 6098 Sayılı Türk Borçlar Kanunu |
Vergisel Kayıtlara İlişkin Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
Ziyaretçilerin Kişisel Verileri | 2 Yıl | 5651 Sayılı Kanun (Belediye’nin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin) |
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) | 30 Gün | Sektörel Teamül |
Çalışanların Kişisel Verilerinin YerAldığı Ortamlara İlişkin Yaptığı ErişimlerinLog Kayıtları | En Az 2 Yıl Olmak Suretiyleİş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl | 5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri |
Firma İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) | 2 Yıl | 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |