KİŞİSEL VERİ SAKLAMA ve İMHA POLİTİKASI

Amaç

Bu politika, Okuyan Gümrük Müşavirliği Ltd. Şti. tarafından hukuka uygun bir biçimde yürütülen veri saklama ve imhasına yönelik benimsenen yöntemler konusunda açıklamalarda bulunmak ve tüm ilgili tarafların bilgilendirilmesi amacı ile oluşturulmuştur.

Kapsam

Bu politika, Okuyan ile bağlantılı tüm ilgili tarafların otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, elektronik ortamda ya da basılı dokümanlarla işlenen tüm kişisel verilerini kapsamaktadır.

Sorumluluk

Bu politikanın kontrolünden Genel Müdür ve İnsan Kaynakları Yöneticisi, uygulanmasından ve dokümanların muhafazasından Okuyan içindeki tüm bölümler ile birlikte Bilgi İşlem bölümü sorumludur.

 

Tanımlar ve Kısaltmalar

Tanımlar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Hizmet Sağlayıcısı: Okuyan ' ın hizmet aldığı ve/veya verdiği şirket (tedarikçi, taşeron, müşteri) çalışanı.

Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Korunması Kanunu: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Türkiye Cumhuriyeti Kanunu

Özel Nitelikli Kişisel Veri: KVKK’nın 6. maddesinde tanımlanan nitelikteki veri.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Veri Sorumlusu: Kişisel verileri işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu ve Veri Sorumluları Sicili’ne kayıt yaptırmakla yükümlü gerçek veya tüzel kişidir.

 

Kısaltmalar

Okuyan : Okuyan Gümrük Müşavirliği Ltd. Şti.

KVKK: Kişisel Verilerin Korunması Kanunu

KVK Kurulu: Kişisel Verileri Koruma Kurulu

KVK Kurumu: Kişisel Verileri Koruma Kurumu

UYGULAMA

bu alana şirketimiz hakkında bilgi tarihçe yazılacak…
 

Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

İlgili kişiye ait veriler, Okuyan tarafından faaliyetlerinin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının planlanması, tedarikçilere sunulan hizmetlerin gerçekleştirilebilmesi, iş ortakları ile süreçlerin işletilebilmesi amacıyla fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve diğer ilgili yönetmelikte belirtilen sınırlar çerçevesinde saklanır. Saklamayı ya da imhayı gerektiren sebepler aşağıdaki gibidir:

o   Mevzuatta kişisel verilerin saklanmasının ya da imhasının açıkça öngörülmesi,

o   Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,

o   Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması

o   Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Okuyan' ın meşru menfaatleri için saklanmasının zorunlu olması,

o   Kişisel verilerin Okuyan' ın herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

Yönetmelik uyarınca, aşağıda sayılan hallerde kişisel ya da özel nitelikli kişisel veriler, Okuyan tarafından bağımsız olarak yahut ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir:

o   Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

o   Açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

o   Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,

o   Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

o   İlgili kişinin, hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi ya da kurulun gereğinin yapılmasını belirtmesi.

Uygulanan Teknik ve İdari Tedbirler

Okuyan, bünyesinde kanunun 7’nci ve 12’nci maddesi göz önünde bulundurularak veri saklamada ve imhada teknik ve idari tedbirler alır. Alınan tedbirler aşağıda belirtildiği gibidir;

İdari Tedbirler

·        Okuyan bünyesinde bilgi güvenliği yönetim sisteminin kurulması ve işletilmesi,

·         Okuyan personelleri ve ilgili taraflar ile taahhütnameler ve gizlilik sözleşmelerinin imzalanması,

·        İş süreçleri üzerinde risk analizlerinin gerçekleştirilmesi,

·         Varlık ve kişisel veri envanterlerinin oluşturulması,

·         Bilgi güvenliği politika ve prosedürlerinin işletilmesi,

·         Bilgi güvenliği ve kişisel veri işleme faaliyetleri hakkında eğitimlerin düzenlenmesi ve değerlendirilmesi,

·        Kurum içi ya da bağımsız denetimler ile faaliyetlerin gözden geçirilmesi,

·        Yapılan işlemler için objektif delil üretecek kayıtların oluşturulması,

Teknik Tedbirler

·         Ağ ve uygulama hizmetleri kimlik doğrulama ile erişim gerçekleştirilmesi,

·        Ağ ve uygulama hizmetlerine erişimde şifreleme kullanılması,

·        Erişim kontrolü ve bilgiye erişim kısıtlamalarının uygulanması,

·        Zafiyet ve sızma testleri gerçekleştirilmesi,

·        Erişim kayıtlarının toplanması ve değerlendirilmesi,

·        Bilişim sistemlerinin kötü niyetli yazılımlara karşı uygulamalar aracılığı ile korunması.

Veri Silme, İmha Etme ve Anonim Hale Getirme

Okuyan, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Okuyan' ın kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu hususta ilgili kişi tarafından Okuyan’ a başvurulması halinde;

o   İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlanır ve ilgili kişiye bilgi verilir,

o   Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilir,

o   Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Veri Silme

Okuyan ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Okuyan tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

Fiziksel Olarak Yok Etme

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

Yazılımdan Güvenli Olarak Silme

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Uzman Tarafından Güvenli Olarak Silme

Okuyan bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

Veri İmha

Elektronik ve basılı dokümanlarda işlenen veri fiziksel imha yöntemi (parçalama, kırpma) kullanılarak ortam tekrar kullanılamaz hale getirilir.

 

Veri Anonimleştirme

·        Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Okuyan, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

·         KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Okuyan tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

(Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.)

Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

(Örnek: Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.)

Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

(Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.)

Veri Karma

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

(Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.)

Veri Saklama, İmha Süreleri ve Sorumlulukları

Veri Saklama ve İmha Süreleri

·        Okuyan, KVKK’nın 7. maddesi ve 5237 sayılı Türk Ceza Kanunu’nun 138. maddesi uyarınca işlediği kişisel verileri yalnızca ilgili mevzuatta öngörülen veya mevzuatta bir süre öngörülmemiş ise kişisel veri işleme amacının gerektirdiği süre kadar muhafaza eder. Tutulan veriler verinin tutulma amacı sona erdikten sonra silinecek olup, bu süre ortalama olarak 2 yıl belirlenmekle birlikte mevzuat olarak daha uzun süre öngörülen veriler mevzuatta belirtildiği süreyle sistemde kalmaya devam edecektir.

·        Bu sebeple her bir kişisel veri için ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süreye ilişkin farklı bir muhafaza süresi geçerli olabilmektedir. (Örneğin; 213 sayılı Vergi Usul Kanunu 253. maddesi uyarınca defter ve vesikalar 5 yıl süre ile muhafaza edilmelidir.)

·         Diğer bir örnek ise 15 Temmuz 2015 tarihli ve 29417 sayılı Resmi Gazetede yayımlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik uyarınca, kişisel verilerin pazarlama veya tanıtım amaçları için kullanılacağına ilişkin ilgili kişi onayının geri alındığı durumlarda, kişisel verilerin kayıtları bu tarihten itibaren 1 yıl saklanmalıdır. Ticari elektronik iletinin içeriği ve gönderiye ilişkin diğer her türlü kayıt ise gerektiğinde ilgili bakanlığa sunulmak üzere 3 yıl saklanacaktır.

·         Diğer yandan, bir veri birden fazla amaç için de işlenmiş olabilir ve böyle bir durumda ilgili verinin işlenmesine neden olan tüm nedenler ortadan kalktığında ilgili veri silinir, yok edilir veya anonim hale getirilerek muhafaza edilir.

Veri Saklama ve İmha Sorumluları

Okuyan veri saklama ve imha sorumluları, sorumluların görevleri aşağıda sıralanmaktadır.

Birim Yöneticisi

Veri saklama ve imha işlemlerini gerçekleştirmek ya da gerçekleştirilmesini sağlanmak,

Bilgi İşlem Yöneticisi

Biriminde veri saklama ve imha işlemlerini gerçekleştirmek ve ilgili birimlerin veri saklama ve imha işlemlerinin gerçekleştirilmesine destek vermek,

Üst Yönetim

Okuyan bünyesinde veri saklama ve imha işlemlerinin uygun gerçekleştirildiğinin denetlemek ya da denetlenmesini sağlamak,

Veri Muhafazasına İlişkin Alınan Tedbirler

·         KVKK ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olan kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde doğrudan veya ilgili kişinin talebi üzerine Okuyan tarafından, bu verilerin hiçbir şekilde kullanılmayacak ve geri getirilmeyecek şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Kişisel verilerin hukuka uygun olarak yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar KVKK uyarınca çıkarılacak olan yönetmelikte belirtilecek ilke ve kurallara uygun şekilde yerine getirilecektir.

·        Teknik açıdan alınan tedbirler:

o   Okuyan tarafından kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesine ilişkin gerekli sistemler ve denetim mekanizmaları oluşturulur. İdari açıdan alınan tedbirler: Okuyan, KVKK’ dan kaynaklanan sorumluluk ve yetkiye dayanarak Okuyan adına kişisel verileri işleyen gerçek veya tüzel kişileri kişisel verilerin hukuka uygun bir şekilde muhafazasına ilişkin bilgilendirmek ve farkındalık yaratmak; aynı zamanda bu kişilerle akdedilen sözleşmeler çerçevesinde kişisel verilerinin hukuka uygun şekilde muhafaza edilmesine ve silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin önlemleri almalarını sağlar.

o   Okuyan, KKVK’ dan kaynaklanan sorumluluk ve yetkiye dayanarak Okuyan adına kişisel verileri işleyen gerçek veya tüzel kişilerinin yürüttüğü kişisel verilerin muhafazası faaliyetlerini denetlemekle sorumludur.

Bize Ulaşın

Yenibosna Merkez Mahallesi Kuyumcular Sokak İstanbul Vizyon Park Merkez Plaza C1 Blok
Kat:10 No:312-321-322-323-324 Bahçelievler/İSTANBUL
+90 (212) 639 30 43
info@okuyan.com.tr