BAŞAKŞEHİR 1. ETAP SİTE YÖNETİMİ

İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), BAŞAKŞEHİR 1. ETAP SİTE YÖNETİMİ (“Site Yönetimi”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat uyarınca saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Site Yönetimi tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

1.2 Kapsam

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle Site Yönetimi nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

1.3 Kısaltmalar ve Tanımlar

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi

kategorisi.

Xxxx Xxxx: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette

kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Site Yönetimi personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Site Yönetimi ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumlu kişidir.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt

sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt

sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemi.

Yönetmelik: 8.10.2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. SORUMLULUK VE GÖREV DAĞILIMLARI

Site Yönetimi, bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Verileri Saklama ve İmha Politikasına uygun olarak işlenmesi, saklanması ve imha edilmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Veri Komitesi Site Yönetiminin irtibat kişisi (Komite Yöneticisi) ile çalışanı (Komite Üyesi) olmak üzere iki kişiden oluşur. Kişisel Veri Komitesi’nde görevli Site Yönetimi çalışanlarının unvanları ve görev tanımları aşağıdaki tabloda belirtilmiştir:

Tablo 1: Saklama ve imha süreçleri görev dağılımı

Unvan

Görev Tanımı

Komite Yöneticisi

(İrtibat Kişisi)

Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Verileri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri

yönetmekle yükümlüdür.

Komite Üyesi

İlgili kişilerin başvurularının incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinde Komite Yöneticisine yardımdan sorumludur.

Ayrıca, Site Yönetiminin tüm bölümleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, bölüm çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

3. KAYIT ORTAMLARI

Kişisel veriler, Site Yönetimi tarafından Tablo 2’de listelenen ortamlarda hukuka uygun

olarak güvenli bir şekilde saklanır.

Tablo 2: Kişisel veri saklama ortamları

Elektronik Ortamlar

Sunucular (Etki alanı, yedekleme, e-posta, Veri tabanı, web, dosya paylaşım, vb.)

Yazılımlar (ofis yazılımları, portal)

Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası,

anti-virüs vb.)

Kişisel bilgisayarlar (Masaüstü, dizüstü)

Mobil cihazlar (telefon, tablet vb.)

Optik diskler (CD, DVD vb.)

Çıkartılabilir bellekler (USB, Hafıza Kartı, Hard Disk vb.)

Yazıcı, tarayıcı, fotokopi makinesi

Bulut (Site Yönetimi bünyesinde yer almamakla birlikte, Site Yönetiminin kullanımında

olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır)

Elektronik Olmayan Ortamlar

Kâğıt

Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri vb.)

Yazılı, basılı, görsel ortamlar

4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Site Yönetimi tarafından; çalışanlar, çalışan adayları, müşteriler, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunanlar gibi üçüncü kişilerin, şirket ve kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.

4.1 Saklamaya ve İmhaya İlişkin Genel İlkeler

Site Yönetimi tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

⮚ Kişisel verilerin saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

⮚ Kişisel verilerin saklanması, silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Site Yönetimi tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.

⮚ Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Site Yönetimi tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

⮚ Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Site Yönetimi tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta Xxxxxx Xxxx tarafından Site Yönetimine başvurulması halinde başvuru yanıtlama süreci işletilir. Bu doğrultuda;

- İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır.

- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

4.2 Saklamayı Gerektiren Hukuki Sebepler

İlgili kişilere ait kişisel veriler, Site Yönetimi tarafından özellikle (i) site yönetimi faaliyetlerinin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

⮚ Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

⮚ Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

⮚ Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

⮚ Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Site

Yönetiminin meşru menfaatleri için saklanmasının zorunlu olması,

⮚ Kişisel verilerin Site Yönetiminin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

⮚ Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

Site Yönetimi bünyesinde tutulan kişisel veriler, Kanun ve Site Yönetiminin Kişisel Verilerin İşlenmesi ve Korunması Politikası (ilgili politikaya xxx.xxxxxxxxxx0.xxx adresinden ulaşabilirsiniz) uyarınca, burada belirtilen amaç ve nedenlerle ilgili mevzuatta öngörülen süre kadar saklanmaktadır.

4.3 İmhayı Gerektiren Sebepler

Kişisel veriler;

⮚ İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

⮚ Taraflar arasında sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin sona ermesi veya feshi akabinde ilgili mevzuatta belirlenen asgari saklama süresinin dolması,

⮚ Veri işlemenin hukuka ve dürüstlük kuralına aykırı olması,

⮚ Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

⮚ Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

⮚ Kanun’un 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Site Yönetimi tarafından kabul edilmesi,

⮚ Site Yönetiminin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

⮚ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, Site Yönetimi tarafından resen yahut ilgili kişinin talebi üzerine, açık rızanın geri alınması halinde ilgili kişinin talebinin kabulü tarihinden itibaren silinir, yok edilir veya anonim hale getirilir.

4.4 Saklama ve İmha Süreleri

Site Yönetimi tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

⮚ Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.

⮚ Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

o Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Site Yönetimi nezdindeki önem derecesine göre belirlenir.

o Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Site Yönetiminin meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

o Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Site Yönetimi tarafından tespit edilen saklama ve imha süreleri aşağıdaki Tablo 3’te yer

almaktadır.

Tablo 3: Saklama ve imha süreleri

Süreç

Saklama Süresi

İmha Süresi

İş Kanunu kapsamında saklanılan veriler

İş ilişkisinin sona

ermesine müteakip 10

yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha

süresinde

İş sağlığı ve güvenliği mevzuatı kapsamında

toplanan veriler

İş ilişkisinin sona ermesine müteakip 15

yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha

süresinde

SGK mevzuatı kapsamında

tutulan veriler

İş ilişkisinin sona ermesine müteakip 10

yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha

süresinde

İş kazası/meslek hastalığına ilişkin bir talepte/davada

kullanılabilecek dokümanlar

İş ilişkisinin sona

ermesine müteakip 10 yıl

Saklama süresinin bitimini takip

eden ilk periyodik imha

süresinde

Sair ilgili mevzuat gereği

toplanan veriler

İlgili mevzuatta öngörülen süre kadar

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması

Dava zaman aşımı müddetince

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Site Yönetiminin ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.

4.5 Periyodik İmha Süresi

Yönetmeliğin 11. maddesi gereğince Site Yönetimi, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Site Yönetimi nezdinde her yıl Xxxx ve Temmuz aylarının son gününe kadar periyodik imha işlemi gerçekleştirilir.

Saklama süresi dolan kişisel veriler, yukarıdaki tabloda yer alan imha süreleri çerçevesinde, belirlenen periyodlarla işbu Politikada yer verilen usullere uygun olarak silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

4.6 İlgili Kişinin Başvurusu

İlgili kişi, Site Yönetimine başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir. Talep edildiğinde ilgili kişinin;

⮚ Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talep yerine getirilir.

⮚ Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve kişisel veriler üçüncü kişilere aktarılmışsa, Site Yönetimi silinme talebiyle ilgili verinin aktarıldığı kişiyi bilgilendirir, Site Yönetimi ve bu kişi gerekli işlemleri yapar.

⮚ Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Site Yönetimi gerekçesini açıklayarak bu talebi reddedilebilir.

Her durumda talebin kabulü, kısmen kabulü veya ret kararlarına ilişkin cevaplar en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda ilgili kişiye bildirilir.

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un

12. maddesindeki ilkeler çerçevesinde, Site Yönetimi tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır.

5.1 İdari Tedbirler

Site Yönetimimiz idari tedbirler kapsamında;

⮚ Saklanan kişisel verilere erişim, iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

⮚ İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirir.

⮚ Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalanır yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliği sağlanır.

⮚ Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.

⮚ Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar veya yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

⮚ Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

⮚ Kişisel verilerin işlenmesi, korunması, saklanması ve imhası bakımından Kanun tarafından alınması gerekli görülen tüm tedbirlere yer verilen gerekli süreç ve politika dokümanları oluşturulur.

5.2 Teknik Tedbirler

Site Yönetimimiz teknik tedbirler kapsamında;

⮚ Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.

⮚ Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.

⮚ Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.

⮚ Düzenli olarak veya ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.

⮚ Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.

⮚ Kişisel verilerin yok edilmesini geri dönüştürülemeyecek şekilde sağlar.

⮚ Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.

⮚ Özel nitelikli kişisel verilerin üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.

⮚ Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

⮚ Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

⮚ Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli

kimlik doğrulama sistemi sağlar.

⮚ Özel nitelikli kişisel verilerin aktarıldığı durumlarda;

o Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e- posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,

o Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,

o Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya FTP yöntemiyle aktarmanın sağlanmasını,

o Verilerin kâğıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.

6. İMHA YÖNTEMLERİ

Site Yönetimi tarafından kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıdaki tabloda yer almaktadır:

Tablo 4: Silme Yöntemleri

Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri
Karartma	Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.
Bulut veya Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri
Yazılımdan güvenli olarak silme	Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.

Tablo 5: Yok Etme Yöntemleri

Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Fiziksel yok etme	Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.
Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Fiziksel yok etme	Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
De-manyetize etme (degauss)	Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Üzerine yazma	Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri
Yazılımdan güvenli olarak silme	Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

Tablo 6: Anonimleştirme Yöntemleri

Değişkenleri çıkarma

İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.

Bölgesel

gizleme

Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde

istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.

Genelleştirme

Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri

kaldırılarak istatistiki veri haline getirilmesi işlemidir.

Alt ve üst sınır kodlama

/ Global kodlama

Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir.

Mikro

birleştirilme

Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar

bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.

Veri karma ve bozma

Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve

tanımlayıcı niteliklerini kaybetmeleri sağlanır.

7. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

İşbu Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, xxx.xxxxxxxxxx0.xxx internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Yönetim Birimi nezdinde saklanır.

8. POLİTİKA’NIN GÜNCELLENME PERİYODU

Site Yönetimi, Kanun’da yapılan değişiklikler, Kurul kararları, sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Verileri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar. İşbu Politikada yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

9. POLİTİKA’NIN ONAYLANMASI YÜRÜRLÜĞÜ GİRMESİ

İşbu Politika, Site Yönetimi Yönetim Kurulu veya kanuni temsilcisi tarafından onaylanır.

İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibarıyla tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.

Politikaya aykırı davranan çalışan hakkında, Yönetim tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

Document Metadata

Table of Contents

BAŞAKŞEHİR 1. ETAP SİTE YÖNETİMİ

Document Metadata