İçindekiler
İçindekiler
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR 3
2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 3
2.3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI 4
2.4. KİŞİSEL VERİLERİN AKTARILMASI 5
2.4.1. Kişisel Verilerin Yurtiçine Aktarılması 5
2.4.2. Kişisel Verilerin Yurtdışına Aktarılması 5
2.4.3. Kişisel Verilerin Aktarıldığı Kuruluşlar 5
2.5. MARZİNC’in AYDINLATMA YÜKÜMLÜLÜĞÜ 6
4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI 9
5. KİŞİSEL VERİLERİN SAKLANMASI 10
6. KİŞİSEL VERİLERİN SİLİNMESİ VE İMHA EDİLMESİ 12
6.2. KİŞİSEL VERİLERİN SİLİNMESİ VE İMHA EDİLMESİNİ GEREKTİREN NEDENLER 12
6.3. KİŞİSEL VERİLERİN SİLİNMESİ 13
6.4. KİŞİSEL VERİLERİN İMHA EDİLMESİ 14
6.5. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ 14
7. POLİTİKANIN YAYINLANMASI VE GÜNCELLENMESİ 15
1. GİRİŞ
1.1. AMAÇ
Bu Politika, Marmara Geri Kazanım Sanayi ve Ticaret X.X. tarafından işlenen kişisel verilerin;
toplanması, kullanılması, paylaşılması, saklanması ve imha edilmesi süreçlerine ilişkin yöntemleri belirlemek amacıyla hazırlanmıştır.
MARZİNC, çalışma ilkeleri çerçevesinde, müşterilere, potansiyel müşterilere, çalışanlara, çalışan adaylarına, stajyerlere, tedarikçilere, potansiyel tedarikçilere, tedarikçi çalışanlarına, hissedarlara ve ziyaretçilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını kullanmasının sağlanmasını temin etmiştir.
1.2. KAPSAM
MARZİNC’in müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, stajyerleri, hissedarları, ziyaretçileri, tedarikçileri, tedarikçi çalışanları ve potansiyel tedarikçilerine ait kişisel veriler bu politika kapsamında olup MARZİNC’in sorumluluğu altındaki kişisel verilerin işlendiği tüm kayıt ortamları ve MARZİNC iş süreçlerinde bu politika uygulanmaktadır.
1.3. TANIMLAR
Alıcı Grubu: MARZİNC tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Xxxx Xxxx: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Kişisel verilerin toplanması, işlenmesi, depolanması, yedeklenmesi vb. işlemlerden sorumlu olan, veri sorumlusu çalışanı veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin saklandığı, veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.
Tedarikçi: MARZİNC ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, danışmanlık, hizmet / ürün satın alma, iş birliği vb.) iş ilişkisi içerisinde bulunan kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika: Kişisel Verileri Saklama ve İmha Politikası
Silme: Kişisel verilerin silinmesi, ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi. Veri sorumlularının, Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR
2.1. GENEL İLKELER
MARZİNC, kişisel verileri KVKK ve ilgili mevzuatta öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede aşağıda belirtilen ilkelere tam uyum sağlanmaktadır:
• Hukuka ve dürüstlük kurallarına uygun olma: Kişisel veri işleme süreçleri, mevzuat ve dürüstlük kurallarının gerektirdiği sınırlar içinde yürütülür.
• Doğru ve gerektiğinde güncel olma: Kişisel veri sahiplerine bilgilendirmeler yapılır ve kişisel verilerin güncel tutulması sağlanır.
• Belirli, açık ve meşru amaçlar için işleme: Marzinc, kişisel veri sahipleri ile kurulan iş ilişkisi çerçevesinde ve gerekli olması durumunda kişisel veri işlemektedir.
• İşlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olma: Kişisel veri işleme süreçleri analiz edilmiş olup ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Kişisel verileri işleyen, MARZİNC tarafından yetkilendirilmiş personelin erişim yetkileri belirlenmiştir.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: İşlenen kişisel verilerin muhafaza süreleri belirlenmiş olup bu süre sonunda işlenen kişisel verilerin imhası ile ilgili yöntemler tanımlanmıştır.
2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
MARZİNC kişisel verileri aşağıda belirtilen koşullara uygun olarak işlenmektedir.
Kanun'da sayılan istisnalar dışında, ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir.
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
İlgili kişiler açısından güvenliğinin sağlanmasının kritik önem teşkil ettiği özel nitelikli kişisel verilerin işlenmesinde ise özel hassasiyet gösterilmektedir. Bu çerçevede, Xxxxx tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, ilgili kişilerin açık rızası olmaksızın işlenmemektedir.
2.3. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
MARZİNC tarafından elde edilen kişisel verileriniz aşağıdaki amaçlar dahilinde işlenir:
• Acil durum yönetimi süreçlerinin uygulanması,
• Bilgi güvenliği süreçlerinin gerçekleştirilmesi (Kimlik doğrulama, binaya / tesislere giriş ve çıkışlar, işe giriş çıkışların tespiti ve kontrolü vb.),
• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
• Çalışanlar için yan hak ve menfaatlerin temini (araç tahsis, telefon, personel ulaşımı, yemek kartı, bireysel emeklilik, sağlık sigortası vs.),
• Eğitim faaliyetlerinin yürütülmesi,
• Erişim yetkilerinin verilmesi ve erişim kontrolü,
• Fiziksel mekân güvenliğinin temini (giriş çıkış kayıtları ve kamera kayıtları),
• Görevlendirme süreçlerinin yürütülmesi (Yurtiçi ve yurtdışı seyahat planlaması, uçak, araba, otel rezervasyonları vb.),
• İletişim faaliyetlerinin yürütülmesi,
• İş akdini oluşturmak için mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
• İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi (personelde, personel adayında, tedarikçi personelinde aranan sağlık koşullarının tespiti ve takibi, muayene ve sağlık hizmetlerinin sunulması),
• İş süreçlerinin yönetimi, raporlanması ve denetimi,
• Kanun ve yönetmeliklerde belirlenmiş gerekliliklerin ifa edilmesi (iş hukuku, vergi mevzuatı, sosyal güvenlik mevzuatı, ticaret hukuku mevzuatı, iş sağlığı ve güvenliği hukuku, elektronik iletişim ile ilgili mevzuat vb.),
• Kurum içi etkinlik ve organizasyon faaliyetleri,
• Lojistik faaliyetlerinin yürütülmesi,
• Mal/hizmet satın alım süreçlerinin yürütülmesi,
• Muhasebe ve finans süreçlerinin yürütülmesi,
• Performans değerlendirme süreçlerinin yürütülmesi,
• Personel adayının aranan pozisyona uygun olup olmadığının kararının verilmesi,
• Personel seçme ve yerleştirme süreçlerinin uygulanması,
• Resmî kurumlardan gelen taleplerin karşılanması (SGK, İşkur, Mahkemeler, Çevre Bakanlığı, İcra Müdürlükleri, Kolluk Kuvvetleri, BTK vb.),
• Sözleşme süreçlerinin yürütülmesi,
• Şirket ortakları, yasal otoriteler ve yönetim sistemleri için uyum ve denetim faaliyetlerinin yürütülmesi,
• Tedarikçi çalışanı seçme ve yerleştirme süreçlerinin uygulanması,
• Ücret yönetiminin yapılması,
• Varlıkların güvenliğinin temini (demirbaş kayıt yönetimi vb.),
• Yasal otoriteler ve yönetim sistemleri için uyum ve denetim faaliyetlerinin yürütülmesi,
• Yetkili kişi ve kuruluşlara bilgi verilmesi,
• Ziyaretçi kayıtlarının oluşturulması ve takibi.
Bu kategoriler bilgilendirme amaçlı olup MARZİNC’in gelecekteki faaliyetlerini yürütülebilmesi için başka amaçlar da hasıl olabilir. Bu gibi durumlarda aydınlatma metinleri güncellenerek bilgilendirme sağlanacaktır.
2.4. KİŞİSEL VERİLERİN AKTARILMASI 2.4.1.Kişisel Verilerin Yurtiçine Aktarılması
MARZİNC, kişisel verilerin aktarılması konusunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara uygun hareket etmektedir. Bu çerçevede, kişisel veriler,
MARZİNC tarafından ilgili kişinin açık rızası olmadan diğer gerçek kişi ve tüzel kişilere
aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler MARZİNC tarafından, ilgili kişinin açık rızası temin edilmeksizin mevzuatta öngörülen şekilde yetkili kurum ve kuruluşlara aktarılabilir:
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.
2.4.2.Kişisel Verilerin Yurtdışına Aktarılması
Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, KVKK’nın 9. maddesi doğrultusunda ilgili kişinin açık rızası aranmaktadır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın MARZİNC tarafından yurtdışına aktarılabilmektedir.
Eğer aktarım yapılacak ülke, Kişisel Verilerin Korunması Kurulu tarafından, yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, MARZİNC ve ilgili ülkedeki veri sorumlusunun/veri işleyenin yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması gerekmektedir.
2.4.3.Kişisel Verilerin Aktarıldığı Kuruluşlar
Kişisel veriler, bu politikada açıklanan amaçlar ile aşağıda belirtilen yurtiçi ve yurtdışındaki kuruluşlara aktarılabilmektedir.
• Bağımsız denetim firmalarına, gümrük müşaviri, mali müşavir ve danışmanlık firmalarına, hukuk bürolarına,
• Bankalara,
• Bireysel Emeklilik veya Özel Sağlık Sigortası yapan kuruluşlara,
• Eğitim hizmeti veren kurumlara,
• Fiziksel güvenliğimizi sağlayan sözleşmeli kuruluşlara,
• ISG yasal gereklilikleri için hizmet aldığımız kişi ve kuruluşlara,
• Kargo firmalarına,
• MARZİNC ortaklık yapısında yer alan kuruluşlara,
• MARZİNC tarafından kullanılan bilgi teknolojilerine bağlı olarak bulut bilişim hizmeti, veri merkezi hizmeti, e-mail hizmeti, firewall hizmeti gibi IT hizmeti veren firmalara ve/veya yurtdışında bulunan sunucularına,
• MARZİNC’e ortak olan kuruluşlara,
• Otellere,
• Referans talep eden kuruluşlara,
• Resmî kurumlara (Çalışma Bakanlığı, Çevre Bakanlığı, Sağlık Bakanlığı, Emniyet Müdürlüğü, SGK, mahkemeler, İş-Kur vb.),
• Sağlık taraması yapan kuruluş ve laboratuvarlara,
• Seyahat acenteleri, havayolu ve kiralama şirketlerine,
• Sözleşme ilişkisi ile bağlı olunan Bilgi Teknolojileri ve Yazılım hizmet sağlayıcı kuruluşlara,
• Telefon operatörlerine,
2.5. MARZİNC’in AYDINLATMA YÜKÜMLÜLÜĞÜ
KVKK’nın 10. maddesi kapsamında, ilgili kişilerin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde ilgili kişilere iletilmesi gereken bilgiler şunlardır:
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• KVKK’nın 11. maddesinde sayılan diğer haklar.
MARZİNC, aydınlatma yükümlülüğünü yerine getirmek amacıyla, kişisel verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında ilgili kişilere sunulmak üzere aydınlatma metinleri
hazırlamıştır.
• Personel Adayı Aydınlatma Metni
• Personel Aydınlatma Metni
• Tedarikçi Aydınlatma Metni
• Ziyaretçi Aydınlatma Metni
hazırlanmış ve web sitesinde ilgili kişilerin erişimine sunulmuştur.
İlgili kişilerin bilgilendirilmesi için MARZİNC bina ve tesislerine bilgilendirme metinleri asılmıştır. Gerekli olduğu hallerde MARZİNC yetkilileri tarafından ilgili kişilere elden verilmek elden verilmek üzere basılı aydınlatma metinleri ya da email ile gönderilmek üzere elektronik ortamda aydınlatma metinleri
hazırlanmıştır.
Aydınlatma metinlerinin veri sahiplerine sunulmasının ardından, ilgili kişinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de xxxx xxxx beyanları hazırlanmıştır. İlgili kişilere yönelik hazırlanan xxxx xxxx beyanlarında ilgili kişilere kişisel verilerinin MARZİNC tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve xxxx xxxx temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.
Öte yandan, KVKK’nın 28 (1). maddesi çerçevesinde, aşağıda sayılan durumlarda MARZİNC’in aydınlatma yükümlülüğü bulunmamaktadır:
• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile
fertleriyle ilgili faaliyetler kapsamında işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Bununla beraber, KVKK’nın 28(2). maddesi çerçevesince, MARZİNC’in aydınlatma yükümlülüğü aşağıdaki hallerde uygulama alanı bulmayacaktır:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
2.6. İLGİLİ KİŞİNİN HAKLARI
MARZİNC tarafından bu Politika’da yer alan esaslara uygun olarak işlenen kişisel verilere ilişkin olarak, KVKK’nın 11. maddesinde ilgili kişiler için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklar şunlardır:
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g) Yukarıdaki (d) ve (e) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
KVKK gereğince, ilgili kişilerin yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı” veya KVK Kurulu’nun belirlediği diğer yöntemlerle MARZİNC’e iletmeleri gerekmektedir. İlgili kişilerin bu haklarını kullanmaları için form oluşturulmuş ve xxx.xxxxxxx.xxx.xx adresinde bilgilendirme yapılmıştır.
İlgili kişiler Talep Formunun imzalı bir nüshasını aşağıdaki yöntemlerin biri ile MARZİNC’e iletebilirler:
• “Xxx Xxxx Xxxxx Xxxxxxx Xxx Xxxxx Xx:0 Xxx:00 00000 Xxxxxxxxx Xxxxxxxx Xxxxxxxx” adresine şahsen başvurarak,
• “Xxx Xxxx Xxxxx Xxxxxxx Xxx Xxxxx Xx:0 Xxx:00 00000 Xxxxxxxxx Xxxxxxxx Xxxxxxxx” adresine noter tebligatı ile,
• “Xxx Xxxx Xxxxx Xxxxxxx Xxx Xxxxx Xx:0 Xxx:00 00000 Xxxxxxxxx Xxxxxxxx Xxxxxxxx” adresine iadeli taahhütlü posta yoluyla,
• xxxx@xxxxxxx.xxx.xx eposta adresine güvenli elektronik imza veya mobil imza ile
• xxxxxxxxxx@xx00.xxx.xx Kayıtlı Elektronik Posta adresine
MARZİNC, talebin niteliğine göre en geç otuz (30) gün içinde talebi sonuçlandıracaktır. İlgili kişinin
talep ettiği işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarifedeki ücret alınabilir.
KVKK’nın 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, ilgili kişiler bu konularda yukarıda sayılan haklarını ileri süremezler:
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK’nın 28/2 maddesi gereğince; aşağıda sıralanan hallerde ilgili kişiler zararın giderilmesini talep etme hakkı hariç, yukarıda sayılan diğer haklarını ileri süremezler:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
3. SORUMLULUKLAR
MARZİNC’in tüm birim ve çalışanları, politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, çalışanların eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli
denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak saklanmasının sağlanması amacıyla kişisel veri işleyen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari
tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin işlenmesi, saklaması ve imha edilmesi süreçlerinde görev alanların unvanları, birimleri ve görev tanımları KVKK Rol ve Sorumluluklar dokümanında detaylı olarak tanımlanmıştır.
Üst Yönetim: Kişisel verilerin korunması mevzuatı kapsamında teknik ve idari tedbirlerin alınmasını ve tedbirlerin uygunluk kontrollerinin yapılmasını sağlamak ve belirli aralıklar ile kontrollerin etkinliğini gözden geçirmekten sorumludur.
Veri Sorumlusu Temsilcisi: Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayımlanması ve güncellenmesinden sorumludur.
Diğer Birim Sorumluları: Görevlerine uygun olarak politikanın yürütülmesinden sorumludur.
4. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
MARZİNC, işlenen kişisel verileri ve bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunu tespit eden bir risk analizi yapmakta ve KVKK 12. maddesi uyarınca işlenmekte olan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.
• MARZİNC’in yürütmüş olduğu tüm faaliyetler analiz edilmiş ve bu analiz sonucunda süreç bazlı bir kişisel veri işleme envanteri hazırlanmıştır. Bu envanterde yer alan kişisel verilere ilişkin riskler tespit edilerek gerekli idari ve teknik tedbirler sürekli olarak alınmaktadır.
• MARZİNC tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin uygunluğu iç tetkikler, bilgi güvenliği yönetim sistemi ve teknik sistemlerle denetlenmektedir.
• Teknik hususlar konusunda uzman personel istihdam edilmiş ve/veya hizmet sağlanmaktadır.
• MARZİNC, personelin işe alınma süreçlerinde imzalanacak İş Sözleşmelerinin ayrılmaz bir parçası olarak gizlilik sözleşmesi hazırlamıştır. Personelden gizlilik sözleşmesinde belirlenen hükümlere uymaları istenmektedir.
• Kişisel verilerin işlenmesi faaliyetlerinde hangi ilkelere ve mevzuata uyulacağı belirlenmiş ve bu kuralları içeren politikalar dokümante edilmiştir. Bu politikalar personelin ve hizmet sağlayıcı personelinin erişimine açılmıştır.
• Personelin rol ve sorumlulukları bu kapsamda gözden geçirilmiş ve rol ve sorumlulukları belirlenmiştir.
• Personel ve hizmet sağlayıcı personeli, kişisel verilerin korunması hukuku ve bu hukuka uygun olarak gerekli önlemlerin alınması konusunda düzenli olarak bilgilendirilmekte ve eğitilmektedir.
• Personelin KVKK’ya aykırı hareket etmesi halinde uygulanacak disiplin yöntemi politikalarda belirlenmiştir.
• MARZİNC faaliyetlerini yerine getirmek için sözleşme yaptığı hizmet sağlayıcılar ile gizlilik sözleşmeleri ve taahhütnameler imzalamıştır. Hizmet sağlayıcıların kişisel verileri işleme süreçleri iç tetkikler, raporlama ve analizler ile değerlendirilmektedir.
• Teknolojik gelişmelere uygun şekilde teknik önlemler alınmakta, alınan önlemler periyodik olarak kontrol edilmekte, güncellenmekte ve yenilenmektedir.
• Sistemler üzerinde gerçekleşen işlemler için uygun kimlik doğrulama mekanizması oluşturmuştur.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması sağlanmaktadır.
• Fiziksel ve elektronik ortamda saklanan kişisel veriler saklama süreleri sonunda belirlenen prosedürlere uygun olarak imha edilmektedir.
• Herhangi bir kişisel veri güvenliği ihlaline karşı acil durum müdahale planı oluşturulmuştur.
• MARZİNC bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel ve çevresel güvenliği için gerekli önlemler alınmaktadır. Bunlar:
o Sistem odalarına ve gizli bilginin yer aldığı ofis ve arşivlere sadece yetkili personelin girişini sağlayan erişim kontrol sistemi
o 7/24 çalışan izleme sistemi
o Ağ cihazlarının fiziksel güvenliği
o Yangın ihbar ve söndürme sistemi
o Güvenli alanlarda uygulanan iklimlendirme sistemi
• MARZİNC, bilişim sistemlerinin doğru ve güvenli işletimini temin etmek için gerekli önlemleri almaktadır. Bunlar:
o Güvenlik duvarı ve saldırı önleme sistemleri
o Zararlı yazılımlara karşı sistemler
o Ağ erişim kontrolleri
o Mobil cihazlarda güvenlik uygulamaları (MDM)
o Güvenlik yamalarının yönetimi
o Elektronik ortamlarda güçlü parola kullanımı
o Veri yedekleme programları
o Eposta güvenliği
o Uzaktan erişimde güvenli uygulamalar (VPN)
o Veri kaybını önleme yazılımları (DLP)
• Kişisel verilerin işlendiği elektronik ortamlarda kullanıcı ve yönetici logları tutulmakta ve düzenli olarak izlenmektedir.
• Sızma (Penetrasyon) testleri ile MARZİNC bilişim sistemlerine yönelik tehdit ve açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Alınan teknik önlemler düzenli olarak raporlanmakta, risk oluşturan hususlar yeniden gözden geçirilerek gerekli teknolojik çözümlerin üretilmesi için çalışılmaktadır.
MARZİNC, özel nitelikli kişisel verilerin güvenliğinin sağlanması ve hukuka uygun olarak işlenmesini temin etmek amacıyla teknik ve idari tedbirleri almaktadır.
5. KİŞİSEL VERİLERİN SAKLANMASI
Kanunun 4. maddesinde işlenen kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş. Buna göre, MARZİNC faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır. Saklamayı gerektiren
hukuki nedenler veya iş süreçleri göz önüne alınarak kişisel verilerin saklama süreleri tanımlanmıştır. Kişisel verilerin saklanmasına ilişkin mevzuat aşağıda belirtilmiştir:
• 213 sayılı Vergi Usul Kanunu
• 4857 sayılı İş Kanunu
• 5070 sayılı Elektronik İmza Kanunu
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
• 6098 sayılı Türk Borçlar Kanunu
• 6102 sayılı Türk Ticaret Kanunu
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
• 6698 sayılı Kişisel Verilerin Korunması Kanunu
• 2872 sayılı Çevre Kanunu
• Bu kanunlar uyarınca yürürlükte olan ikincil mevzuat
MARZİNC faaliyetleri çerçevesinde işlenen kişisel veriler, aşağıda belirtilen iş süreçleri gereklilikleri doğrultusunda saklanır:
• İnsan kaynakları ile ilgili:
o Özlük ve işe alım süreçlerini yürütmek,
o Sigorta, iş sağlığı ve güvenliği hizmetlerini vermek,
o Performans değerlendirmesi, takibi ve eğitim faaliyetlerini yürütmek,
o Acil durum prosedürlerini uygulamak,
• Kurumsal iletişimi sağlamak,
• İmzalanan sözleşmeler çerçevesinde iş ve işlemleri ifa etmek,
• Fiziksel ve çevresel güvenliği sağlamak,
• Bilgi sistemleri güvenliğini sağlamak,
• Süreçlerin sürekli iyileştirilmesi amacıyla raporlama yapmak,
• Yasal düzenlemelerin gerektirdiği şekilde hukuki yükümlülüklerin yerine getirilmesini sağlamak,
• BTK, Çevre Bakanlığı, GİB, KVKK, SGK ve diğer otoritelerce öngörülen raporlama ve bilgilendirme yükümlülüklerine uymak,
• Ortaklarımız ve iştirakleri için raporlama ve bilgilendirme yükümlülüklerini yerine getirmek,
• İç ve dış denetim faaliyetleri için gereklilikleri yerine getirmek,
• İleride olabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek.
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRESİ TABLOSU
Kişisel Veri Türü | Saklama Süresi | Periyodik İmha Süresi |
Personel özlük bilgileri | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Personel sağlık bilgileri | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Personel ile ilgili mahkeme ve icra talep ve bilgileri | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Personel adayı bilgileri | 1 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
İnsan Kaynakları süreçlerinin yürütülmesine ilişkin bilgiler | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Sözleşmeler | Sözleşme süresinin bitimini takiben 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Satın alma süreçlerinin yürütülmesine ilişkin bilgiler | Sözleşme süresinin bitimini takiben 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
İş sağlığı ve güvenliği uygulama ve yükümlülükleri için temin edilen bilgiler | İş ilişkisinin sona ermesine müteakip 40 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Kaza raporları | İş ilişkisinin sona ermesine müteakip 40 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Muhasebe ve Finansman süreçlerinin yürütülesine ilişkin bilgiler | 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Yönetim Kurulu işlemlerine ilişkin bilgiler | 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
İletişim faaliyetleri | 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Donanım ve yazılım erişim logları | 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
İnternet erişim logları | 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Ziyaretçi kayıtları | 3 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Kamera kayıtları | 1 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
Araç, lokasyon ve lojistik faaliyetlerine ilişkin bilgiler | 10 yıl | Saklama süresinin bitimini takiben 6 ay içinde |
6. KİŞİSEL VERİLERİN SİLİNMESİ VE İMHA EDİLMESİ
6.1. KAYIT ORTAMI
Kişisel veriler MARZİNC tarafından, aşağıda belirtilen ortamlarda güvenli olarak saklanırlar.
6.1.1. Elektronik Ortam
• Sunucular (etki alanı, yedekleme, uygulama, dosya paylaşımı sunucuları)
• Office 365 e-mail sistemi
• Data Center SAP sunucuları
• eFatura, eArşiv, eDefter sistemi
• Uygulamalar, Yazılımlar (ofis yazılımları, işletim sistemleri, iş güvenliği ve sağlık bilgilerini tutan yazılımlar vb.)
• Kullanıcı ve yönetici logları
• Bilgi Güvenliği Cihaz ve uygulamaları (Güvenlik duvarı, log cihazları, antivirüs, MDM, DLP vb.)
• Kişisel Bilgisayarlar
• Mobil Cihazlar (telefon, tablet vb.)
• Optik Diskler (CD, DVD vb.)
• Harici Bellekler (USB, Hafıza Kartı vb.)
• Yazıcı, Tarayıcı, Fotokopi Makineleri
• Kamera sistemleri
• PDKS
6.1.2.Fiziksel Ortam
• Kâğıt (basılı belgeler, imzalanmış anlaşmalar, postalar, raporlar vb.)
• Xxxxxx Xxxx Kayıt Sistemleri (ziyaretçi giriş defteri, anket formları)
• Yazılı, basılı, görsel ortamlar
• Birimlerde yer alan kişisel verilerin tutulduğu kilitli dolaplar
• Arşiv
• Sistem odası
Kişisel veri içeren ortamların listesi Kişisel Veri Envanteri Dokümanında güncel olarak yer almaktadır.
6.2. KİŞİSEL VERİLERİN SİLİNMESİ VE İMHA EDİLMESİNİ GEREKTİREN NEDENLER
Kişisel veriler:
• İşlenmesine esas teşkil eden mevzuat hükümlerinin değiştirilmesi ve ilgası,
• İşlenmesini ve/veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11.maddesi gereği ilgili kişinin, hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun MARZİNC tarafından kabul edilmesi,
• MARZİNC’in ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi veya Kanun’da öngörülen süre içinde cevap vermemesi halinde; ilgili kişinin Kişisel Verileri Koruma Kurulu’na şikayette bulunması ve talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, MARZİNC tarafından silinir, yok edilir veya anonim hale getirilir.
6.3. KİŞİSEL VERİLERİN SİLİNMESİ
MARZİNC, ilgili Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren nedenlerin ortadan kalkması halinde kendi kararına istinaden ya da ilgili kişinin talebi halinde kişisel verileri silebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılmaz hale getirilmesi işlemidir.
Kişisel verilerin silinmesi işleminde izlenen süreç aşağıdaki gibidir:
• Silme işlemi yapılacak kişisel veriler belirlenir
• Kişisel verilerin bulunduğu ortamlar belirlenir
• Silinmesi planlanan kişisel veriye erişen kullanıcılar tespit edilir
• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri tespit edilir
• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri kapatılır
• Kullanıcı erişiminde yer alan kişisel verilerin bulunduğu ortamlar “güvenli silme” araçları ile silinir.
• Kişisel veriler sadece sistem yöneticisi tarafından erişilebilir hale getirilir.
Kişisel verilerin silinmesi yöntemleri aşağıdaki gibidir:
Veri Kayıt Ortamı | Açıklama |
Dosya sunucularında yer alan kişisel veriler | • Sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. • Kullanıcı ya da sistem yöneticisi tarafından ilgili dosya “güvenli silme” araçları kullanılarak silinir. |
SAP üzerinde yer alan kişisel veriler | Sistem yöneticileri hariç diğer kullanıcılar tarafından erişilemez ve tekrar kullanılamaz hale getirilir. |
Email ortamında bulunan kişisel veriler | Kullanıcı tarafından ilgili email, bu email baz alınarak yapılan yönlendirme emailleri ve arşivde yer alan emailler “güvenli silme” araçları kullanılarak silinir. |
Kişisel bilgisayarlarda bulunan kişisel veriler | Kullanıcı tarafından kişisel bilgisayarda bulunan kişisel veri içeren dosyalar tüm kopyaları ile “güvenli silme” araçları kullanılarak silinir. |
Kâğıt Ortamında Yer Alan Kişisel Veriler | • Kâğıt ortamında yer alan kişisel veriler karartma yöntemi kullanılarak silinir. • Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümler ile okunamayacak şekilde |
sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi işlemidir. • Kâğıt ortamında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, arşivden sorumlu personel hariç diğer çalışanların erişimine kapalı bir alana alınır. | |
Taşınabilir Medyada Bulunan Kişisel Veriler | • Sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilir • Taşınabilir ortam “güvenli silme” araçları kullanılarak silinir. |
6.4. KİŞİSEL VERİLERİN İMHA EDİLMESİ
Kişisel verilerin imha edilmesi işleminde izlenen süreç aşağıdaki gibidir:
• İmha edilecek kişisel veriler belirlenir
• Kişisel verilerin bulunduğu ortamlar belirlenir
• İmha edilmesi planlanan kişisel veriye erişen kullanıcılar tespit edilir
• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri tespit edilir
• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri kapatılır
• Kişisel verinin bulunduğu tüm ortamlar için üzerine yazma yöntemi ile fiziksel yok etme yöntemi uygulanır.
• Kişisel veriler sistem yöneticisi dahil hiçbir kullanıcı tarafından erişilemez hale getirilir.
Kişisel verilerin imha yöntemleri aşağıdaki gibidir:
Veri Kayıt Ortamı | Açıklama |
Optik/Manyetik medyada yer alan kişisel veriler | • Üzerine yazma: Özel yazılımlar kullanılarak en az yedi kez üzerine yazılır ve eski veri kurtarılamaz hale gelir. • Yok etme: Eritme, yakma veya toz haline getirme gibi fiziksel olarak yok edilir. • De-manyetize etme: Manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Kâğıt Ortamında Yer Alan Kişisel Veriler | • Kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
6.5. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin başka veriler ile eşleştirilse dahi hiçbir surette kimliği belirli ya da belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi işlemidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu ve üçüncü kişiler
tarafından geri döndürülmesi ve/veya verilerin başka veriler ile eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
7. POLİTİKANIN YAYINLANMASI VE GÜNCELLENMESİ
Bu politika, MARZİNC KVKK uyum yönetim sistemi dokümantasyonunun bir parçası olarak yayınlanır. Personel ve üçüncü tarafların erişimine açılmış olup ayrıca MARZİNC web sitesinde yayınlanarak kamuya açıklanmıştır.
Bu politika önemli değişikliklerden sonra veya en az yılda bir kez gözden geçirilerek güncellenir.