Kişisel Veri Saklama ve İmha Politikası
DOĞAVERA GIDA ANONİM ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE
İMHA POLİTİKASI
İçindekiler
- Amaç. 2
- Tanımlar. 2
- Kişisel Verilerinizin Saklandığı Kayıt Ortamları 5
- Kişisel Verilerinizin Saklanmasını ve İmhasını Gerektiren Sebepler. 5
- Kişisel Verilerinizin Saklanması ve İmhası Süreçlerinde Rol Alanlar. 7
- Kişisel Verilerinizin Korunması İçin Alınan Tedbirler. 9
- Süreler. 12
- Kişisel Verilerinizin İmhasında Kullanılabilecek Yöntemler. 15
- Yürürlük. 19
1. AMAÇ VE KAPSAM
İşbu Kişisel Verilerin Saklanması ve İmhası Politikasının (“Politika”) amacı; Doğavera Gıda Anonim Şirketi (“Şirket”) tarafından işlenen kişisel verilerin işlenme sürelerinin belirlenmesi ve işleme süresi ve/veya işleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kriter ve yöntemlerin ortaya konulmasıdır.
Şirketimizce yayımlanan “Aydınlatma” metinlerine ve 28.10.2017 tarihinde yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi hakkındaki Yönetmeliğin” (“Yönetmelik”) 6’ncı maddesinde yer alan düzenlemelere paralel olarak; hukuka uygunluk, dürüstlük ve şeffaflık ilkeleri doğrultusunda; kişisel verilerinizin saklanmasını ve imhasını gerektiren sebeplerin, kişisel verilerinizin işlendikleri amaç için gerekli olan azami sürenin belirlenmesinin, kişisel verilerinizin tutulduğu kayıt ortamlarının, kişisel verilerinizin korunması ve imhası için alınan tedbirlerin, kişisel verilerinizin saklanması ve imhası sürecinde rol alan kişi ve birimlerin, kişisel veri saklama ve imha süre ve süreçlerinin açıklanması ile tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
İşbu Politika; 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 7. Maddesi uyarınca “veri sorumlusu” sıfatıyla Doğavera Gıda Anonim Şirketi’nin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollar ile işlediği, elektronik ortamda ve/veya kağıt ortamında yer alan ve işlenmesi ve saklanmasında hukuki ve/veya meşru bir menfaat kalmayan tüm kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin süreçleri kapsamaktadır.
2. TANIMLAR
2.1. Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
2.2. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
2.3. Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
2.4. Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
2.5. İlgili Kişi: Kişisel verisi işlenen gerçek kişidir.
2.6. İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
2.7. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
2.8. Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ve 3’üncü maddede kapsamlı olarak açıklanan her türlü ortamdır.
2.9. Elektronik kayıt ortamı: Kişisel verilerin elektronik cihazlarla işlenebildiği yani saklandığı, okunduğu, değişikliğe uğradığı kayıt ortamı.
2.10. Elektronik olmayan kayıt ortamı: Verilerin elektronik ortamların haricinde basılı (matbu) fiziksel olarak saklandığı ve işlendiği kayıt ortamı.
2.11. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
2.12. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
2.13. Müşteri: Şirketin faaliyetleri kapsamında mevcut olan her türlü hizmet satın alan ve/veya bu hizmetlerden yararlanan kişileri ifade eder.
2.14. Aracı hizmet sağlayıcı: Hizmetlerin doğrudan şirket veya şirkete ait websitesi üzerinden değil Şirketin anlaşmalı olduğu platformlardan yapılabilmesini sağlayan aracı kişi, kurum veya web siteleri.
2.15. İmha: Kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemidir.
2.16.Periyodik imha: Kişisel Verilerin Korunması Kanunu’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
2.17. Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
2.18.Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
2.19.Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
2.20.Web site: https://www.wefood.com.tr/ ve yönlendirme yapılmış diğer alan adlı portallarını ifade eder.
2.21. Politika: Kişisel Verileri Saklama ve İmha Politikası.
2.21. Komite: İşbu Politika’nın uygulanmasından, kişisel veri işleme faaliyetlerinin Şirket içi denetiminden, veri koruma yükümlülükleri hususunda bilgilendirme ve tavsiyede bulunmaktan, personellerin veri işleme faaliyetlerinde işbu Politika ve Prosedürlere uygunluğunu izlemekten, Yönetime veri işleme süreçleri ile veri işleme süreçlerinin Kanun’a ve Politika’ya uygunluğu noktasında raporlama yapmaktan sorumlu personel veya personellerden teşekkül komiteyi ifade eder.
2.22. Personel: Şirketimizde çalışan gerçek kişileri ifade eder.
2.23. Personel Adayları: Şirketimize Cv göndermek, e-posta atmak, telefonlar aramak ve sair yöntemlerle iş başvurusu yapan gerçek kişileri ifade eder.
2.24. Ziyaretçiler: Şirketimize ait web sitesi, yönlendirici aracı web siteleri ile mağaza, şirket merkezi gibi fiziki ortamları ziyaret eden gerçek kişileri ifade eder.
2.25. İş/Çözüm Ortağı, Tedarikçi: Şirketimizin faaliyetini gerçekleştirmek ve tarafınıza hizmeti sunabilmek amacıyla dış hizmet aldığı üçüncü kişi ve kişiler.
2.26.Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
2.27.Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
2.28. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
2.29. Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
2.30. VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
2.31. Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
2.32. Rehber: Kurul tarafından www.kvkk.gov.tr adresinde yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi”ni ifade eder.
2.33. Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade etmektedir.
3. KİŞİSEL VERİLERİNİZİN SAKLANDIĞI KAYIT ORTAMLARI
3.1. Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verileriniz, toplanma ve işlenme amacına göre;
3.1.1. Elektronik Kayıt Ortamı; Bulut sistemleri, merkezi sunucu, hard-disk, taşınabilir medya, veri tabanları, bilgi güvenliği cihazları, bilgisayarlar, Mobil cihazlar, optik diskler, çıkartılabilir bellekler, ofis portal ve yazılımları, yazıcı, tarayıcı, fotokopi makinesi gibi dijital ortam ve materyal üzerindeki ortamlar.
3.1.2. Elektronik Olmayan Kayıt Ortamı; Kağıt, özlük dosyası, fatura, fiş, irsaliye, manuel evrak kayıt sistemleri (anket formları, ziyaretçi giriş defteri) gibi yazılı, basılı görsel ortamlar.
4. KİŞİSEL VERİLERİNİZİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
4.1. Kişisel verilerinizi kanunlarda öngörülen asgari ve azami saklama süreleri saklı kalmak kaydıyla, Şirketimizin ilan ettiği Aydınlatma Metinlerinde belirtilen kişisel verilerin işleme amacının gerektirdiği süre boyunca ve Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen veri işleme şartlarına riayet ederek saklamaktayız. Şirketimizce öngörülen azami saklama süreleri 7’nci maddede açıklanmıştır.
4.2. Bu doğrultuda, kişisel verileriniz, Aydınlatma Metinleri uyarınca; kural olarak açık rızanız ile kanunda öngörülen istisnai hallerde ise açık rızanıza başvurulmaksızın Şirketimiz tarafından işlenebilecektir.
4.3. Kanunda öngörülen açıkça öngörülen hallerde, ilgili kişinin rızasının alınması hususunda fiil imkansızlık bulunması ya da rızasının hukuken geçerli olmadığı durumda ilgili kişinin kendisinin veya başkasının hayatı ve beden bütünlüğü için veri işlemenin zaruri olması hallerinde; ilgili kişi ile doğrudan veya dolaylı olarak yapılan sözleşmelerin kurulması ve ifası için veri işlenmesi gerekli ise, veri sorumlusu olan Şirketimizin hukuktan ve kanundan doğan yükümlülüklerini ifa için veri işlemenin zorunlu olduğu durumlarda; ilgili kişinin kişisel verilerini aleni hale getirmesi yahut bir hakkın kurulumu ya da korunması için veri işlenecek ise ve son olarak ilgili kişinin temel hak ve özgürlüklerine dokunulmaksızın Şirketin meşru menfaatleri uyarınca kişisel verileriniz işlenebilmektedir.
4.4. Politika’nın 4.3. maddesi uyarınca kişisel verilerinizin saklanmasını gerektiren başlıca sebepler;
4.4.1. Kanun’un 5’inci maddesinde belirtilen veri işleme şartlarının (hukuki sebeplerin) yerine getirilmesi (sözleşmenin ifa edilebilmesi, hakkın tesis edilebilmesi, Şirketimizin meşru menfaatleri uyarınca veri işlemenin zorunlu olması, hukuki yükümlülüğün yerine getirilebilmesi vb)
4.4.2. Şirketimizin personel temini ve işe alım süreçlerinin yürütülmesi, personel verimlilik değerlendirmesi, personel verimliliğinin artırılması ve personel eğitimlerinin planlanması ile yürütülmesi,
4.4.3. Finansal raporlama, risk planlaması, risk yönetimi, finansal planlama gibi finansal işlemlerin yürütülmesi,
4.4.4. Mal veya hizmet memnuniyet anketlerinin düzenlenmesi,
4.4.5. Mal veya hizmet üretimi, geliştirilmesi ve sunulması; mal ve hizmet gamının genişletilmesi, geri bildirimlerin raporlanması,
4.4.6. Müşteri talep ve şikayetlerinin yönetilmesi, raporlanması ve sonuçlandırılması,
4.4.7. Kurumsal iletişimin yürütülmesi, planlanması ve raporlanması,
4.4.8. Ziyaretçi/ müşteri kayıtlarının oluşturulması, takibi ve raporlanması,
4.4.9. Şirketimizin hukuki süreçlerinin yönetilmesi, raporlanması, alacak ve borçların takibi ile resmi makamlar nezdinden gelen diğer hukuki bilgi taleplerinin yanıtlanması,
4.4.10. Resmi kurum ve kuruluşlar ile bilgi talep etmeye yetkili özel kurum ve kuruluşların meşru ve hukuka uygun taleplerinin yanıtlanması, bilgi ve belge sunulması,
4.4.11. Şirketimizin dönemlik (haftalık, aylık, yıllık vb) faaliyet ve bütçe planlamalarının yapılması,
4.4.12. Şirketimizin reklam, tanıtım ve pazarlama çalışmalarının yürütülmesi, hizmet kalitesinin artırılması, promosyonlar yapılması, kampanyalar düzenlenmesi, sipariş alınması, sipariş süreçlerinin yönetimi, sipariş geri bildirimlerinin yapılması, memnuniyet anketlerinin düzenlenmesi,
4.4.13. Şirketimizin merkez bina içi – çevresi ve/veya Şirketimize ait mağaza, depo vb. işyerleri ve sair mekanların fiziki güvenliğinin sağlanması,
4.4.14. Müşterilerimizden gelen ek ürün veya hizmet taleplerinin yerine getirilmesi, müşterilerimize ek ürün veya hizmet sunulması, müşteri beğenilerinin tasnifi, raporlanması ve artırılması ile
4.4.15. Şirketimiz tarafından her bir iş sürecinde 6698 s. Kanun’un 10’uncu maddesi uyarınca yapılacak aydınlatma bildirimleri kapsamında belirtilen amaçları yerine getirmektir.
4.5. İmhayı gerektiren sebepler;
4.5.1. İşbu Politika’nın 4.3. maddesinde öngörülen durumların sona ermesi; özellikle kişisel verilerin İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası yahut kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
4.5.2. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
4.5.3. Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından reddedilmesi, yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap verilmemesi halinde Kurula şikayette bulunulması ve bu talebin kurum tarafından uygun bulunması,
4.5.4. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Halinde Şirketimize başvurmanız ihtimalinde en geç 30 gün içinde veya Şirketimize herhangi bir başvurunuz bulunmasa dahi Şirketimizce benimsenen periyodik imha tarihlerimizde tarafımızca işlenen kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir.
5. KİŞİSEL VERİLERİNİZİN SAKLANMASI VE İMHASI SÜREÇLERİNDE ROL ALANLAR
5.1. Kişisel verilerinizin ve 3’üncü maddede belirtilen kayıt ortamlarının niteliğine göre elektronik olan ve/veya elektronik olmayan kayıt ortamlarında kişisel verileriniz kategorisine göre Şirketimizde bulunan departmanlar tarafından saklanmaktadır.
5.1.1. Web sitesi üzerinden veya fiziksel olarak işyerimiz veya şubelerimizden her türlü satın alma ve diğer kullanımlarınız/ziyaretleriniz ile şirketimize ait çağrı merkezi aramalarınız kapsamında işlenen kişisel verileriniz dijital ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Satış ve Pazarlama Yöneticisi ve E-Ticaret Departman Yöneticisi ve bu kişilerin görevlendirebileceği diğer çalışanlarımız görev almaktadır.
Satış ve Pazarlama Yöneticisi şirketimize ait web siteleri dahil her türlü kanaldan yürütülen satış pazarlamaya ilişkin tüm faaliyetlerin, E-Ticaret Departman Yöneticisi ise websitesi üzerinden yapılan satış işlemleri dahil e-ticaret ile ilgili her türlü faaliyetin hukuk ve işbu politika da dahil olmak üzere şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve organizasyonundan görevlidir.
5.1.2. Çalışanlarımızın İş Kanunu, İş Sağlığı ve Güvenliği kanunu ve ilgili diğer mevzuat uyarınca oluşturulan özlük dosyaları ve diğer işlemleri kapsamında işlenen kişisel verileriniz dijital ve fiziksel ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Muhasebe ve İnsan Kaynakları Departman Yöneticisi ile bu kişilerin görevlendirebileceği diğer çalışanlarımız görev almaktadır.
Muhasebe ve İK Departman Yöneticisi şirketimizin işe alım için ön görüşme ve personel bulma işlemleri dahil Şirketimizin tüm istihdam ve işçi çalıştırma süreçleri ile çalışanlarının hak ve yükümlülüklerinin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi, denetlenmesi ve organizasyonundan görevlidir.
5.1.3. Şirketimizin mağazaları, deposu ve diğer işyeri ile eklentilerinde yer alan kameralar güvenliğinizi sağlamak amacıyla kurulmuş olup kameralar (CCTV) sistemi kapsamında işlenen kişisel verileriniz dijital ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin IT Departmanı Yöneticisi ve görevlendirebileceği diğer çalışanlarımız görev almaktadır.
IT Departmanı Yöneticisi şirketimizin bilişim ile ilgili tüm teknik ve hukuki önlemlerinin alınması ve bu kapsamda gerçekleştirilen tüm eylemlerin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve organizasyonundan görevlidir.
5.1.4. Çalışanların, müşterilerin ve diğer ilgili kişilerin maaş hesabı, bordro, fatura, geri iade banka hesap bilgileri gibi finansal nitelikteki kişisel verileri dijital ve fiziksel ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Muhasebe/IK Departman Yöneticisi ile bu kişinin görevlendirebileceği diğer çalışanlarımız görev almaktadır.
Muhasebe Departman Yöneticisi şirketin tüm muhasebe ve finans işlemlerinin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve organizasyonundan görevlidir.
5.1.5. Hizmet veya mal satın aldığımız kişi veya kurumlar ile çözüm ortakları ve iş geliştirme kapsamında çalıştığımız diğer gerçek veya tüzel kişilerin iletişim bilgileri başta olmak üzere sözleşme veya faaliyetler kapsamında işlenen kişisel verileriniz dijital ve fiziksel ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Ürün Yönetim/Satın Alma Departman Yöneticisi ile bu kişinin görevlendirebileceği diğer çalışanlarımız görev almaktadır.
Ürün Yönetim Departman Yöneticisi şirketin faaliyetlerine devam edebilmesi için gerekli her türlü mal ve hizmet tedariki ile bu işlemlerin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve organizasyonundan görevlidir.
6. KİŞİSEL VERİLERİNİZİN KORUNMASI İÇİN ALINAN TEDBİRLER
6.1. Şirketimiz, kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesinin ve kişisel verilerinizin işlenirken hukuka ve dürüstlük kuralına uygun hareket etmek, kişisel verilerinizin doğru ve gerektiğinde güncel olmasını temin etmek, kişisel verilerinizi belirli, açık ve meşru amaçlar için işlemek, kişisel verilerinizi işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işlemek ve kişisel verilerinizi ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmek suretiyle kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilmesi amacıyla aşağıdaki teknik, hukuki ve idari tedbirleri almıştır:
6.1.1.
ÖZEL TEKNİK TEDBİRLER |
ÖZEL TEKNİK TEDBİRLERİN AMACI VE AÇIKLAMASI |
Sızma (Penetrasyon) Testleri |
Şirketimiz kişisel verilerinizin güvenliğini sağlamak amacıyla periyodik aralıklarla elektronik ortamda işlenen verileriniz yönünden herhangi bir sızma olup olmadığını tespit etmek için sızma testi yaptırmaktadır. |
Erişim ve Yetki Matrislerinin Belirlenmesi |
Tarafımızca işlenen kişisel verilerin sadece yetkili kişilerce işlenmesi yetkisiz kişilerin ise işbu kişisel verilerinize hiçbir şekilde erişim sağlamaması ve veriler üzerinde işleme faaliyeti gerçekleştirmemesi adına Şirketimizde gerek Şirketin tüm çalışanları yönünden gerek ise her departmana özgü olarak erişim ve yetki matrisi belirlenmektedir. |
Saldırı Tespit ve Önleme Sistemleri |
Dışarıdan Şirket veri tabanına ve kullanılan yazılımlara yönelik gelebilecek her türlü siber saldırı için önleme sistemleri kurulmuş, bunun yanı sıra herhangi bir saldırı mevcut ise saldırının derhal tespiti için gerekli teknik önlemler alınmıştır. |
Log kayıtlarının tutulması |
Sistemdeki her bir veri için gerek çalışanların gerek ise müşteriler ile Web Sitesi ziyaretçilerinin log kaydı tutulmaktadır. |
Ağ ve uygulama güvenliği |
Şirketimizin kullanmakta olduğu (ve ileride kullanabileceği) sunucu ağlarının güvenliğinin sağlanması amaçlanmaktadır. |
Veri Kaybı Önleme Yazılımları |
Şirketimiz veri kaybını önlemek adına teknik açıdan sağlam bir veri yedekleme sistemi ile veri kurtarma işlemine olanak sağlayan yazılımlar kullanmaktadır. |
Güncel Antivirus ve Antispam Sistemleri |
Şirketimizde dışarıdan gelebilecek saldırılara vb. durumlara hazırlıklı olmak ile sistem ve veri güvenliğini sağlama amacıyla en güncel ve güvenilir olan antivirus ve antispam sistemleri kullanılmaktadır. |
Veri Maskeleme |
Şirketimizde özel nitelikli kişisel verilerinizde, işbu verilerin yetki matrisinde yetkili olmayan kişilerle veya 3.kişilerle paylaşımı sırasında veri güvenliğini sağlama adına veri maskeleme veya şifreleme yöntemini kullanıyoruz. |
Güvenlik Önlemleri |
Fiziksel ortamda tutulan kişisel verilerin çalınması veya yetkisiz kişi tarafından alınması/görülmesine karşı güvenlik kamera sistemi, hırsızlık alarm sistemi, ilgili yerlere kontrollü giriş-çıkış ve kilit sistemi kurulmuştur. |
Yangın ve Diğer Afetler |
Yangın alarm ve söndürme sistemi kurulmuş. Fiziksel ortamdaki kişisel verilerin bulunduğu yerlere yakın yangın tüpleri yerleştirilmiştir. Diğer afet ve olaylara karşı risk değerlendirmeleri yapılmıştır. |
6.1.2. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilmesi amacıyla gerekli teknik altyapı kurulmuş, teknik altyapının sıhhatli işleyişi için gerekli teknik ve idari denetim mekanizmaları oluşturulmuştur.
6.1.3. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilmesi amacıyla teknik uzmanlığı olan çalışanlar istihdam edilmiştir.
6.1.4. İş ve güvenlik devamlılığının sağlanabilmesi ile acil durumların üstesinden gelinebilmesi amacıyla risk yönetim ekibi oluşturularak acil durum planlaması yapılmıştır.
6.1.5. Çalışanlarımız, iş ortaklarımız ve iş ilişkisinde olduğumuz diğer üçüncü kişilere hukuki, teknik ve idari riskler hakkında bilgilendirme yapılmış, çalışanlarımıza kişisel verilerin işlenmesine, saklanmasına, imhasına ve veri güvenliğine ilişkin genel ve olay bazlı teknik, idari ve hukuki farkındalık eğitimleri verilmiştir. Eğitimler gerektiğinde belirli aralıklar ile tekrar edilmektedir. Verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve süreleri net olarak tanımlanmıştır. Periyodik olarak yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınma süreci yürütülmektedir.
6.1.6. Kişisel verilerinizin aktarıldığı üçüncü parti kişilerden, kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesi ile kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilebilmesinin temini amacıyla gerekli güvenlik tedbirlerini aldığına ve/veya alacağına ilişkin taahhütler alınmıştır. Çalışanlar ile gizlilik sözleşmeleri imzalanmıştır.
6.1.7. Kişisel verilerinize hukuka aykırı erişimin önlenmesi ve kişisel verilerinizin hukuka aykırı işlenmesinin engellenmesi amacıyla Şirket içi veriye erişim yetkilendirmeleri yapılmış olup, yöneticilerimiz tarafından periyodik olarak erişim yetkilileri denetlenmektedir.
6.1.8. Kişisel verilerinizin imhası ile ilgili yapılan bütün işlemlerin kayıt altına alınmasını ve söz konusu kayıtların asgari 2 yıl saklanmasını teminen teknik ve idari altyapı kurulmuştur.
6.1.9. Kişisel verilerinizin hukuka uygun olarak imha edilebilmesi için çalışanlarımıza dijital ve fiziki kayıt ortamlarındaki kişisel verilerin silinme, yok edilme ve anonim hale getirilme yöntemleri ile periyodik imha süre ve süreçlerine ilişkin hukuki, idari ve teknik eğitimler verilmiştir.
6.1.10. Silinen kişisel verilerinizin, ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli teknik ve idari tedbirler alınmıştır. Bu bağlamda Şirketimizce kullanılan veri silme yöntemleri vasıtasıyla silinen kişisel verilerinize ilgili kullanıcı tarafından erişilmesi ve/veya kullanılması imkansız kılınmıştır.
6.1.11. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilmesine ilişkin almış olduğumuz hukuki, idari ve teknik tedbirleri periyodik olarak güncellemekteyiz.
6.1.12. Veri sorumlusu sıfatıyla Veri Sorumluları Sicil Bilgi Sistemi’ne kayıt olunmuştur. (sürüm 2.0)
6.1.13. İşbu Politika’nın sağlıklı yürütülmesi ve alınan tedbirlerin yeterliliğini kontrol amacıyla Veri İşleme Envanteri oluşturulmuştur.
6.1.14. Yukarıda sayılan teknik ve idari tedbirlerin yanı sıra özel nitelikli kişisel veriler için ayrı bir veri güvenlik politikası belirlenmiştir.
6.1.15. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta, test sonuçları kayıt altına alınmaktadır. Özel nitelikli kişisel verilere erişilen yazılıma ait kullanıcı yetkilendirmeleri yapılmış, bu yazılımların güvenlik testleri düzenli olarak yapılmakta ve test sonuçlarının kayıt altına alınmaktadır. Verilere uzaktan erişim sağlanması halinde en az iki kademeli kimlik doğrulama sisteminden geçilmesi sağlanmaktadır.
6.1.16. Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda farkındalık ve veri güvenliği eğitimleri verilmiş, gizlilik sözleşmeleri yapılmış, taahhüt alınmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve süreleri net olarak tanımlanmıştır. Periyodik olarak yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınma süreci yürütülmektedir.
6.1.17. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir. Bu amaçla, işbu verilerin e-posta yoluyla aktarılması halinde şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmakta; Sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte; taşınabilir bellek vb. ortamlarla veri aktarımı söz konusu ise kriptografik anahtar oluşturulmaktadır. Yine işbu verilerin matbu / basılı olması halinde olası bir veri aktarımında söz konusu evraklar “GİZLİ” formatta gönderilmektedir.
7. SÜRELER
7.1. Kanunlarda öngörülen asgari saklama süreleri saklı kalmak kaydıyla kişisel verileriniz; “Kişisel Verilerinizin İşlenmesine İlişkin Aydınlatma Metni” kapsamında ilan edilen ‘kişisel verilerinizi işleme amacı’nın tümüyle ortadan kalkması veya Kanun’un 5’inci ve 6’ncı maddelerinde yer alan veri işleme şartlarının tamamının ortadan kalkması veyahut bunların hiçbirisi olmasa dahi Şirketimiz açısından kişisel verilerinizi işlemenin teknik, idari veya mali olarak imkânsız hale gelmesi durumunda kişisel verileriniz, bu durumun ortaya çıkışını takiben ilk periyodik imha işleminde re’sen veya talebiniz üzerine Şirketimizce silinir, yok edilir veya anonim hale getirilir.
7.2. Şirketimizce benimsenen imha periyotları her yılın 6. ayının sonu ve 12. ayının sonunda olmak üzere yılda iki seferdir.
7.3. Kanun’un 13’üncü maddesine istinaden Şirketimize yazılı olarak veya Kurul’un belirleyeceği sair yöntemlerle yapacağınız başvuru ile kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinizde aşağıdaki usul ve esaslar geçerli olacaktır:
7.3.1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebinize konu kişisel verileriniz silinir, yok edilir veya anonim hale getirilir. Talebiniz en geç otuz gün içinde sonuçlandırır ve tarafınıza bilgi verilir.
7.3.2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel verileriniz üçüncü kişilere aktarılmışsa, Şirketimiz bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
7.3.3. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, talebiniz Şirketimizce Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir. Bu halde ret cevabı tarafınıza en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
7.3.4. Talebinizin niteliğine talep sonucunuz ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
7.4. Kişisel verilerinize ilişkin -kanunlarda öngörülen azami ve asgari saklama süreleri saklı kalmak kaydıyla- veri kategorilerine göre saklama süreleri ile imha ve periyodik imha süreleri aşağıdaki tabloda belirtilmiştir:
Kişisel Veri Kategorisi |
Kişisel Verilerinizin Saklanma Süresi |
Kişisel Verilerinizin İmha Süresi |
Mağaza veya İnternet Ortamında Mal ve Hizmet Satın Alan Müşterilerden Elde Edilen Kişisel Veriler |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
İş Çözüm Ortağı/ Tedarikçilere İlişkin Kişisel Veriler |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
İş Başvurusu Sırasında Çalışan Adaylarına İlişkin Kişisel Veriler |
2 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
Personele Ait Kişisel Veriler (Kimlik, İletişim, Özlük Bilgileri, Hukuki İşlem Verileri, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Fiziksel Mekân Güvenliği) |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl; kamera kayıtları 2 ay |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
Personele Ait Ceza Mahkumiyeti ve İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Alınan Sağlık Verileri |
Sağlık Verileri hukuki ilişkinin sona ermesinden itibaren 15 yıl, Ceza Mahkumiyeti hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
Ziyaretçilere İlişkin Kişisel Veriler (Kamera Kayıtları, log kayıtları)
|
Kamera kayıtları ay; Log kayıtları 2 yıl
|
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
Çevrimiçi Ziyaretçilere İlişkin Kişisel Veriler (Çerez vb.)
Çevrimiçi Websitesi Üyelik İşlemleri Ve Üyelere İlişkin Kişisel Veriler |
2 yıl
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde |
Şirket Ortak ve Yetkilileri İle TTK Kapsamında Tutulan Ticari Defter ve Kayıtlara İlişkin Kişisel Veriler |
10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
7.5. Kişisel verileri saklama sürelerinin tayininde, olası hukuki uyuşmazlıkların doğması ihtimaline binaen gerek Şirketimiz gerekse ilgili kişilerin haklarını savunabilmek, delil ibraz edebilmek, def’i ve itirazlarda bulunabilmek adına; doğabilecek hukuki uyuşmazlığa konu hakkın ileri sürülebilmesine yönelik zamanaşımına uğrama süreleri ile kanuni yükümlülüklere ilişkin zorunlu süreler esas alınmıştır.
8. KİŞİSEL VERİLERİNİZİN İMHASINDA KULLANILABİLECEK YÖNTEMLER
İşleme amacı tamamen ortadan kalkan elektronik ortamdaki veya kağıt ortamındaki kişisel veriler Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Rehberi”ne uygun olarak silinir, yok edilir veya yine bu Rehber’de öngörülen yöntemlerle anonim hale getirilir. Teknik Birim tarafından gerçekleştirilen tüm silme, yok etme veya anonim hale getirme işlemleri elektronik ortamda zaman damgası ile loglanarak kayıt altına alınır. Kağıt ortamdaki kişisel veriler bakımından ise bu işlemlerin gerçekleştirildiğine ilişkin tutanak düzenlenir ve Teknik Birim tarafından muhafaza edilir. Elektronik ve kağıt ortamdaki kişisel verilere ilişkin silme, yok etme veya anonim hale getirmeye ilişkin kayıtlar üç yıl süre ile saklanır. Doğavera Gıda Anonim Şirketi kişisel verileri saklama süreleri boyunca sadece ilgili departmanların bu verilere erişimini sağlayacak şekilde “silme” yöntemini kullanır. Saklama sürelerinin bitmesi ve kişisel verinin saklanmasını gerektirecek herhangi bir başka amacın mevcut olmaması halinde ise anonim hale getirme yöntemini kullanır.
- Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu olarak silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
- Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
- Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi,
- Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi,
- İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi,
- İlgili kullanıcıların kişisel veriler kapsamında erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.
- Kişisel Verilerin Silinmesi Yöntemleri
- Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox vb.)
Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri hiçbir şekilde geri getirme yetkisinin olmayacağı şekilde işlem yapılmaktadır.
- Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karatma işlemi ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde silme veya sabit mürekkep kullanılarak çizme, boyama işlemi ile ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
- Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması şeklinde yapılır.
- Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler şifreleme anahtarlarıyla güvenli ortamlarda saklanır, bu ortamlara uygun yazılımlar kullanılarak silme işlemi gerçekleştirilir.
- Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (delete vb.) silinmesidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.
- Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Doğavera Gıda Anonim Şirketi kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
- Kişisel Verilerin Yok Edilmesi Yöntemleri
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmesi gerçekleştirilir.
- Yerel Sistemler
Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılabilir.
De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma ya da de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi sağlanır.
Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
- Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır:
Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünlerin, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Bu sebeple (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, SSD, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
Mobil telefonlar (SIM kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Bu sebeple (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. Bu sebeple (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
- Kağıt ve Mikrofiş Ortamlar
Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür. Yahut yakma metodu ile geri döndürülemez şekilde yok edilir.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
- Bulut Ortamı
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.
Yukarıdaki ortamlara ek olarak arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemi ise aşağıdaki şekilde gerçekleştirilir;
İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir,
Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara g,
Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması.
- Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır.
Kişisel verilerin anonim hale getirilmiş olması için, kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.
Veri sorumlusu olarak Şirket, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak gerçekleştirilir.
9. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında açıklanır.
10. POLİTİKANIN GÜNCELLEME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
11. YÜRÜRLÜK
11.1. İşbu Politika(sürüm 2.0) yayımı tarihinde yürürlüğe girer ve önceki (sürüm 1.0.) yürürlükten kaldırır.
11.2. Politika’da değişiklik ve güncelleme yapılması halinde, ilgili değişikliğe ilişkin bilgileri de kapsayacak yeni sürüm yayımlanır.
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır:
BELGE TARİHÇESİ |
|
Versiyon |
Değişikliğin Tanımı |
1.0 |
İlk Yayınlanma |
2.0 |
KVKK Optimizasyonu |