KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. GİRİŞ
1.1. Amaç
Güney Hidropar Hidrolik Aksam Donanım San. ve Tic. Ltd. Şti. (“Güney Hidropar” veya “Şirket”) olarak; çalışanlar, çalışan adayları, ziyaretçiler, web site ziyaretçileri, tedarikçi yetkilileri, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler ve sair üçüncü kişiler dâhil gerçek kişilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” (Yönetmelik) başta olmak üzere ilgili mevzuata uygun olarak saklanmasına ve gerektiği şekilde ve sürede imha edilmesine dikkat etmekteyiz.
Bu sebeple, veri sorumlusu sıfatıyla yürütmekte olduğumuz iş süreçleri esnasında elde ettiğimiz tüm kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi ve imhalarına ilişkin süre ve işlemleri işbu “Kişisel Veri Saklama ve İmha Politikamıza” (Politika) göre belirlemekte ve gerçekleştirmekteyiz.
Ayrıca, kişisel verilerin saklanması ve imhası sürecinde, bu verilerin hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbiri almaktayız. Güney Hidropar olarak, kişisel verilerin saklanması ve imhası süreçlerinde özel hayatın gizliliğinin korunmasına önem vermekte ve veri güvenliğini en üst seviyede gözetmekteyiz.
İşbu Politika, faaliyetlerimiz sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlediğimiz yöntemler hakkında açıklamalar içermektedir.
1.2. Kapsam
İşbu Politika; çalışanlar, çalışan adayları, ziyaretçiler, web site ziyaretçileri, tedarikçi yetkilileri, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler ve sair üçüncü kişiler dâhil gerçek kişilerin kişisel verilerinin Güney Hidropar tarafından işlenmekte olan bütün kişisel verilerini kapsamaktadır.
Politika, Xxxxxx tarafından işlenen bu kişisel verilerin elektronik ve basılı her türlü ortamda saklanmasına ve imhasına ilişkin olup KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenleme ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.
1.3. Kısaltmalar ve Tanımlar
Elektronik ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da |
birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel veriyi işleyen kişi. | |
KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Karartma | Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler. |
Kişisel Veri | Kimliği belli veya belirlenebilir gerçek kişiye ait her türlü bilgi. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Politika | Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika. |
Kişisel verilerin anonim hale getirilmesi | Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi, bu işlem istatistiki bilgi temini amacıyla sadece şirket politikasının belirlenmesi ve satış planlamalarının yapılması amacıyla kullanılabilecek olup, silme yapılabilecek kişisel verilerin saklama süresi dolduktan sonra yıldızlama yöntemiyle kullanılması yoluyla sadece planlama amacıyla kullanılacaktır. |
Kişisel verilerin silinmesi | Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından kamerehiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel verilerin yok edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi, otomatik yolla tutulanların geri getirilemeyecek şekilde silinmesi, otomatik olmayan yolla tutulanların yakılarak imha edilmesi yoluyla silinmesi işlemi |
Periyodik imha | KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla (silinme şartları gerçekleştikten sonraki 6 (altı) ayda bir) resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Veri işleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yönetmelik | 28.10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
2. SORUMLULUK VE GÖREV DAĞILIMLARI
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıda verilmiştir.
PERSONEL AD-SOYAD | BİRİM | GÖREV | SORUMLULUK |
Şirket Müdürü | Müdürlük | Kişisel veri saklama ve imha politikası uygulama sorumlusu | Genel Müdür, işbu Politika’yı, kabul etmek ve uygulamaya almak; politikanın gerektiği durumlarda güncellenmesi için yönetsel kararı almak; kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur. |
Kişisel Veri Uyum Sorumlusu | Kişisel veri saklama ve imha politikası uygulama sorumlusu | İşbu Politika taslağının hazırlanması, geliştirilmesi ve güncellenmesi, Politika’nın takibinden ve hazırlanan dokümanın xxx.xxxx.xxx.xx’de QDMS’de (CRMleriyle uyumlu, kurum içi kullanılan sair yazılımlarla ve Kurumun istediği formatta) yayınlanmasından, kurumla yapılacak yazışmalardan, şirket KEP adresinin takibi ve bu adrese gelen ilgili kişi başvurularıyla Kurumla yapılan yazışmalardan, ve bu süreçlerin takibinden Kişisel Veri Sorumlusu sorumludur. |
3. KAYIT ORTAMLARI
Şirketimiz tarafından, faaliyetlerimizi yerine getirirken elde ettiğimiz kişisel verileri kanuni sürelere uygun olarak saklamak amacıyla aşağıda yer alan kayıt ortamlarını kullanmaktayız.
ELEKTRONİK ORTAMLAR | ELEKTRONİK OLMAYAN ORTAMLAR |
• Veri tabanları (e-posta veri tabanı, dosya paylaşım, web, yedekleme vb.) | • Klasörler |
• Yazılımlar | • Dosyalar |
• Taşınabilir cihazlar (hard disk, USB bellekler vs.) | • Arşiv Odaları |
• Uygulama otomasyonları |
4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirketimiz tarafından; çalışanlar, çalışan adayları, ziyaretçiler, web site ziyaretçileri, tedarikçi yetkilileri, hissedar/ortaklar, yönetim kurulu üyeleri, müşteriler olan gerçek kişilerin kişisel verileri KVKK’ya uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırayla yer verilmiştir.
4.1. Saklamaya İlişkin Açıklamalar
Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta ve veri envanterinde öngörülen süre boyunca veya böyle bir süre öngörülmemişse, kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız.
Kişisel verileri birden fazla amaç için işlediğimiz hallerde, verinin işlenme amaçlarının hepsinin ortadan kalkması durumunda re’sen veya verilerin silinmesine mevzuatta bir engel olmaması ve ilgili kişinin talep etmesi durumunda, verilerin silinmesine mevzuatta bir engel olmaması şartıyla, veriler veri envanterinde belirtilen usul ve yöntemler çerçevesinde silinir, yok edilir veya anonim hale getirilir.
4.1.1. Saklamayı Gerektiren Hukuki Sebepler
Güney Hidropar’da faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
✓ Kişisel Verilerin Korunması Kanunu
✓ Türk Borçlar Kanunu
✓ Türk Ticaret Kanunu
✓ İş Kanunu
✓ İş Sağlığı ve Güvenliği Kanunu
✓ Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
✓ Sermaye Piyasası Kanunu
✓ İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
✓ Sendikalar ve Toplu İş Sözleşmesi Kanunu
✓ Vergi Usul Kanunu
✓ Karayolu Taşıma Kanunu
Yukarıda sayılanlar başta olmak üzere yürürlükte olan ilgili tüm kanunlar, diğer ikincil düzenlemeler ve veri envanteri çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.1.2. Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:
✓ Acil durum yönetimi süreçlerinin yürütülmesi
✓ Bilgi güvenliği süreçlerini yürütmek
✓ Çalışan memnuniyeti ve bağlılığı süreçlerini yürütmek
✓ Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülükleri yerine getirmek
✓ Çalışanlar için yan haklar ve menfaatleri süreçlerini yürütmek
✓ Denetim ve etik faaliyetlerini yürütebilmek
✓ Erişim yetkilerini belirlemek
✓ Finans ve muhasebe işlerini yürütmek
✓ Fiziksel mekân güvenliğini sağlamak
✓ Görevlendirme süreçlerini yürütmek
✓ Hukuk işlerini yürütmek
✓ İç denetim, disiplin faaliyetlerinin yürütülmesi
✓ İletişim faaliyetlerini yürütmek
✓ İnsan kaynakları süreçlerini yürütebilmek
✓ İş faaliyetlerinin yürütülmesi ve denetimi
✓ İş sağlığı ve güvenliği faaliyetlerini yürütmek
✓ Mal / hizmet satın alım süreçlerini yürütmek
✓ Mal / hizmet satış süreçlerini yürütmek
✓ Mal / hizmet satış sonrası destek hizmetlerini yürütmek
✓ Mal / hizmet üretim ve operasyon süreçlerini yürütmek
✓ Müşteri ilişkileri yönetim süreçlerinin yürütülmesi
✓ Pazarlama ve analiz çalışmalarının yürütülmesi
✓ Performans değerlendirme süreçlerinin yürütülmesi
✓ Reklam, kampanya ve promosyon süreçlerini yürütmek
✓ Stratejik planlama faaliyetlerinin yürütülmesi
✓ Saklama ve arşiv faaliyetlerini yürütmek
✓ Sosyal sorumluluk ve sivil toplum aktivitelerini yürütmek
✓ Sözleşme süreçlerini yürütmek
✓ Talep ve şikayetlerin takibi
✓ Taşınır mal ve kaynakların güvenliğinin temini
✓ Tedarik zinciri yönetim süreçlerinin yürütülmesi
✓ Ücret politikasının yürütülmesi
✓ Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi
✓ Veri sorumlusu operasyonlarının güvenliğinin temini
✓ Yetkili kişi, kurum ve kuruluşlara bilgi vermek
✓ Yönetim faaliyetlerinin yürütülmesi
4.2. İmhayı Gerektiren Sebepler
Kişisel veriler;
• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
• Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişini açık rızasını geri alması
• KVKK’nın 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi
• Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile
kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması
• İlgili kişinin talebi (mevzuatta ve veri envanterinde belirlenen şartların sağlanması koşuluyla)
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
durumlarında, şirket tarafından silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
5. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesi ile 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
5.1. ALINAN İDARİ TEDBİRLER
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari tedbirler almaktadır. Bu kapsamda,
• Şirketimiz kapsamında VERBİS sistemine uyumlu veri envanteri çıkarılmakta (Data Mapping), burada hukuka ve amaca uygunluk denetimleri yapılmaktadır.
• Çalışanlar kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir. Bu bilgilendirmeler sonrasında periyodik olarak (6 ayda bir) farkındalık eğitimleri yapılmaktadır.
• Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
• Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanunun aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.
• Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve periyodik (6 ayda bir) denetimler yürütülmektedir.
Diğer yandan, şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek
için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
• Çalışanlar kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmekte ve eğitilmektedir.
• Çalışanlar öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmakta ve gizlilik sözleşmeleri yapılmaktadır.
• Kişisel Veri Güvenliği Politikalarının ve Prosedürler belirlenmekte, politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gereken hususlar belirlenmektedir. Yine, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir. Yeni bir veri girişi olması halinde, bu durumun veri envanterine işlenecek ve gerekirse, VERBİS sisteminde bu düzenlemenin de en geç 7 (yedi) gün içerisinde yapılacaktır.
• Kişisel Verilerin Mümkün Olduğunca Azaltılması: Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Ancak, doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilere hala ihtiyaç olup olmadığının değerlendirilmekte ve ihtiyaç duyulmayan kişisel veriler ise kişisel veri saklama ve imha politikası ile silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta, veri minimilazasyonu amacına uygun salt yeteri kadar veri alınacak, ihtiyaçtan fazla veri alınmamaktadır.
• Veri İşleyenler ile İlişkilerin Yönetimi: Şirket bilgi işlem ihtiyacını karşılamak için veri işleyenlerden hizmet aldığı zaman, hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağlandığından emin olarak işlem yapılmaktadır.
Bu kapsamda, veri işleyen ile imzalanan sözleşmenin yazılı olması, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi ve Kişisel Veri Saklama ve İmha Politikasına uygun olması, veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağının da bu sözleşmede yer alması, herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olduğunun öngörülmesi sağlanmaktadır.
Ayrıca; taraflar arasındaki sözleşmenin niteliği buna elverdiği ölçüde, Şirket tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmesi sağlanmaktadır.
Yine, Şirket kişisel veri içeren sistem üzerinde gerekli denetimleri yapar veya yaptıracağı, denetim sonucunda ortaya çıkan raporları ve hizmet sağlayıcıyı yerinde inceleyebileceği belirtilmektedir.
Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını
sağlayacağına ilişkin hükümler eklenmekte yada yeni veri gizliliği sözleşmeleri yapılmaktadır.
• Şirketimiz, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli periyodik eğitimleri verir ve periyodik olarakta yenileme eğitimleri yapmaktadır.
• Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
• Şirketimiz çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirketimiz ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.
Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
• Çalışanlar kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda bilgilendirilmektedirler.
• Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
5.2. Alınan Teknik Tedbirler
Şirketimizin, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için aldığı başlıca teknik tedbirler şu şekildedir;
• Siber Güvenliğin Sağlanması
Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır.
Güvenlik duvarı ve ağ geçidi gibi tedbirler ile internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı oluşturulmaktadır.
Bununla birlikte hemen hemen her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulmaktadır. Nitekim, yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları olabileceği dikkate alınarak, kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır. Bu nedenle, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilmektedir.
• Yazılım güncellemeleri
Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi sağlanmaktadır.
• Erişim Sınırlamaları
Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır.
Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kompleks kombinasyonların (güçlü şifre) tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve kontrol matrisi oluşturulmaktadır.
• Şifreleme
Güçlü şifre ve parola kullanımının yanısıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır.
• Anti Virus Yazılımları
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyaların düzenli olarak taranmaktadır.
• Web Sitesi Güvenliği
Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.
• Kişisel Veri Güvenliğinin Takibi
- Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmektedir.
- Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmekte ve sızma testlerinin periyodik olarak 6 (altı) ayda bir yapılmaktadır.
- Tüm kullanıcıların işlem hareketlerinin kaydı düzenli olarak tutulmaktadır (log kayıtları gibi).
- Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması yapılmaktadır.
- Yine çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmaktadır.
- Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.
• Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır.
Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altına alınmaktadır. Otomatik olmayan yolla tutulan kişisel verilerin bulunduğu ortamlar kilitli olarak tutulmakta, sınırlı kişiye erişim yetkisi verilmekte ve erişim yetkisi bulunan kişilerle gizlilik sözleşmeleri yapılmaktadır.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır.
Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilmektedir.
Aynı seviyedeki önlemler şirket yerleşkesi dışında yer alan ve şirkete ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınmaktadır. Nitekim, kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir.
Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır.
Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.
Kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.
• Kişisel Verilerin Bulutta Depolanması
Şirketimizde bulutta depolama yapılmamaktadır. Ancak yapılacak olması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Şirket taarfından değerlendirilmesi gerekmektedir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmaktadır. Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi,
bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması sağlanması, Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyaları yok edilmesi ön görülmektedir.
• Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
Şirket tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.
• Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Şirket yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ dışında tutulmaktadır.
Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
• Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
• Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm gerekli altyapılar kullanılmaktadır.
5.3. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıkların Arttırılması ve Denetimi
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bildirimlerin yapılmasını, eğitimlerin verilmesini sağlamakta ve belirli periyodik aralıklarla (6 ayda bir) gerekli denetimleri yapmaktadır.
5.4. İş Ortakları, Tedarikçilerin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması
Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesini önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına ve tedarikçilerine gerekli bilgilendirmeler yapmaktadır.
5.5. Özel Nitelikli Kişisel Verilerin Korunmasına ilişkin alınan idari ve teknik tedbirler
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır.
Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve şirketimiz bünyesinde gerekli denetimler sağlanmaktadır. Bu kapsamda;
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilir, gizlilik sözleşmeleri yapılır, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır, Periyodik olarak yetki kontrolleri gerçekleştirilir, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılır ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler kriptografik yöntemler kullanılarak muhafaza edilir, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanır, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilir ve gerekli güvenlik testleri düzenli olarak yapılır ve veya yaptırılır, test sonuçları kayıt altına alınır.
Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığına emin olur, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir.
• Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografık yöntemlerle şifrelenir ve kriptografık anahtarın farklı ortamda tutulur, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.
Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” formatında gönderilir.
• Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınır.
6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Xxxxxx tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
Şirketimiz, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine, şirketimizin hukuki yükümlülüğünün sona ermesi koşuluyla, kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
6.2. Kişisel Verilerin Silinmesi ve Yok Edilmesi
Şirketimiz, tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde şirketimiz tarafından re’sen yahut ilgili kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.
6.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Yöntemleri:
(i) Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Şirketimizdeki kişisel veriler bulut sisteminde saklanmamaktadır. Ancak ilerleyen dönemlerde herhangi bir Kurul tarafından onay verilen bulut sistemi olması ve şirketçe verilerin bulut sisteminde yedekleneceği yönünde kara alınacak olunur ise,
Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.
Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.
− Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
− Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.
(ii) Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.
(iii) Kağıt Ortamında Bulunan Kişisel Verilerin Yok Edilmesi: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen fiziksel ortamda yer alan kişisel veriler; kâğıt kesme makinesi ile öğütülerek yok edilmektedir. Kağıt kesme makinesiyle imha edilen kişisel verilere ilişkin imha tutanağı tertip edilir. Şirketimiz fiziksel ortamda yer alan kişisel verilerin imhası için bu tekniği uygulamaktadır.
Yukarıda belirtilen durumun gerçekleşmesi sırasında Şirketimiz; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.
7. İMHAYA İLİŞKİN KAYITLARIN SAKLAMA SÜRESİ
Şirketimiz, imhaya ilişkin kayıtlar hem basılı olarak hem elektronik olarak 3 yıl boyunca saklamakta olup, imha kayıtlarının korunmasına ilişkin teknik ve idari tedbirler almaktadır.
8. SAKLAMA VE İMHA SÜRELERİ
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem tarafından yerine getirilir. Kişisel verilerin saklama süreleri ilgili mevzuatta öngörülen süreler çerçevesinde belirlenmiştir.
Bu çerçevede, ilgili verinin Güney Hidropar nezdinde saklanmasının, KVKK’nın 5. ve 6. maddesinde kişisel verilere ve özel nitelikli kişisel verilere ilişkin olarak öngörülen hukuka uygunluk sebepleri kapsamında değerlendirilmesi halinde, bu hukuka uygunluk sebeplerine istinaden ilgili kişisel verilere ilişkin saklama süreleri tespit edilir.
Kişisel verilerin imha süreci, Güney Hidropar tarafından her bir ilişkiye uygun olarak ilgili mevzuat gözetilerek belirlenmiş olan saklama süreleri doğrultusunda yürütülmektedir. Saklama süreleri sona eren kişisel veriler, Güney Hidropar tarafından belirlenmiş olan periyodik imha sürelerinde silinir, yok edilir veya anonim hale getirilir.
Şirket politikası olarak yakma yoluyla imha etme yöntemi uygulanmasına karar verilmiştir.
Süreç | Saklama Süresi | İmha Süresi |
Çalışan süreçlerinin yürütülmesi | Çalışanın işten ayrılmasından itibaren 20 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşmesel ilişkilerin yürütülmesi (müşteri, tedarikçi vb.) | Sözleşmenin sona ermesini takiben 20 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kamera kayıtları | 15 gün | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İmha kayıtları | İmha tarihinden itibaren 3 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
9. PERİYODİK İMHA SÜRESİ
Yönetmelik’in 11. maddesi gereğince periyodik imha süresi, Şirket tarafından, silme şartları gerçekleştikten sonra 6 (altı) ay olarak belirlenmiştir.
10. POLİTİKANIN YAYIMLANMASI VE SAKLANMASI
İşbu Politika, 6698 sayılı Kanun yürürlüğü ile yayınlanmış ve basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanmaktadır.
11. POLİTİKANIN GÜNCELLENME PERİYODU
İşbu Politika yılda bir kez gözden geçirilir ve ihtiyaç halinde esaslar dahilinde güncellenir.
12. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
İşbu Politika Şirket internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, işbu Politikanın ıslak imzalı eski nüshaları Şirket Müdür’ünün yazılı onayı ile Kişisel Veri Sorumlusu tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve 5 yıl süre ile Kişisel Veri Sorumlusu tarafından saklanır.