KİŞİSEL VERİLERİN KORUNMASI VE VERİ İMHA PROSEDÜRÜ
- AMAÇ VE KAPSAM………………………………………………………………………………………….
1.1 Kişisel Verilerin Korunması ve Veri İmha Prosedürü, şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamaları içerir. İşbu prosedür, şirketimiz tarafından otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin kullanımları ve işlenmesine ilişkin esasları düzenler.
- TANIMLAR…………………………………………………………………………………………………….
İş bu prosedürün uygulanmasında;
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim hâle getirme: Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesini ifade eder.
İlgili kişi: Kişisel verisi işlenen
gerçek kişiyi ifade eder.
Kişisel veri: Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır.
Bu bağlamda, kişinin verilerinin belli veya belirlenebilir olması (bir başka
bilgi ile bir araya getirildiğinde kişiye ulaşılması) gerekmektedir. Bir
kişinin adı, soyadı, doğum tarihi ve yeri, kimlik, sosyal güvenlik numarası,
telefon numarası, adresi, görüntüleri, ödeme bilgileri, sağlık bilgileri ve
benzeri bilgiler kişisel veri tanımına girmektedir.
Kişisel verilerin işlenmesi: Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul: Kişisel Verileri Koruma
Kurulunu ifade eder.
Kurum: Kişisel Verileri Koruma
Kurumunu ifade eder.
Veri işleyen: Veri sorumlusunun
verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel
kişiyi ifade eder.
Veri kayıt sistemi: Kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini
ifade eder.
Veri sorumlusu: Kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade
eder.
Kişisel Verileri Koruma Komitesi: Üyeleri, kişisel verilerin işlenmesi ve muhafaza edilmesi hakkında politika ve KVKK mevzuatının şirket bünyesinde uygulanmasından sorumlu olan heyeti ifade eder.
- YETKİ VE SORUMLULUK…………………………………………………………………………………..
3.1. Bu prosedürde yer alan tüm faaliyetlerin yürütülmesinden şirketimiz tarafından atanmış Veri İşleme Sorumlusu, koordinasyonundan İnsan Kaynakları Departmanı sorumludur.
- UYGULAMA VE YÜRÜRLÜK……………………………………………………………………………….
4.1. Kişisel verilerin işlenmesi, korunması hususunda 6698 Sayılı Kanun ve diğer kanuni düzenlemeler öncelikle uygulama alanı bulacaktır.
4.2. Şirketimiz, KVK Kanunu 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işler.
4.3. Kisisel veriler ilgili kisinin açık rızası olmaksızın işlenemez.
Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.4. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
- VERİ SİCİLİNE KAYDOLMA
Şirketimiz, Kişisel Verilerin Korunması Kanunu 16. maddesi uyarınca, Kişisel Verilerin Korunması Kurulu tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmakla yükümlüdür.
Şirketimiz esasen veri sorumlusu sıfatına haiz olarak, veri tabanında kayıtlı olan kişisel verilerin, işleme amaçlarını ve vasıtalarını belirleyerek, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olup Veri Sorumluları Sicili kurulduğunda veri sorumlusu kaydını gerçekleştirmiştir.
- VERİ GÜVENLİĞİNİ SAĞLAMA
Şirketimiz, teknik konularda bilgili, uygun nitelikleri haiz bir veri işleme sorumlusu atayarak, veri güvenliğini sağlamak amacıyla işlenmekte olunan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak ve yaptırmaktadır.
Veri işleme sorumlusu ayrıca, kişisel verilerin işlenmesi hususunda şirket içerisindeki eğitimlerden sorumlu olup işveren tarafından belirlenecek periyodlarda düzenli olarak İnsan Kaynakları Departmanına ve talep edilmesi halinde Şirket yöneticilerine raporlama yapar.
- Şirketimizde alınan teknik ve idari tedbirler aşağıda sayılmaktadır.
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar ve şirket içerisinde verisi işlenebilen kişiler için aydınlatma ve bilgilendirmeler yapılmaktadır.
- Kişisel veriler ve özel nitelikli kişisel verilerin korunmasına ilişkin prosedürler mevcuttur.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
- AYDINLATMA YÜKÜMLÜLÜĞÜ
Şirketimizin ilgili mevzuat gereği Aydınlatma Yükümlülüğü kapsamında; çalışanlar, kişisel verilerin korunması, hukuka uygun olarak işlenmesi ve bu kapsamdaki kanuni hakları hususlarında ve yeni işe girişi yapılanlar için oryantasyon döneminde “Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme” yazısı aracılığıyla bilgilendirilir ve çalışanlara gerekli eğitimler verilir. Hali hazırda çalışmakta olan personeller için, işbu prosedürün yürürlüğe girmesini müteakip İnsan Kaynakları Departmanı tarafından yapılacak planlama ve çalışma ile bu personellere gereken eğitimler verilir.
Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Anılan kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Verisi işlenen kişiler, anılan kanun kapsamında öğrenme ve bilgi talep etme haklarını, soru ve taleplerini Veri İşleme Sorumlusu/İnsan Kaynakları Departmanı’na ya da kvkkdestek@hstr-oto.com mail adresi üzerinden yazılı ve gerekçeli olarak bildirmek suretiyle kullanırlar. Veri İşleme Sorumlusu/İnsan Kaynakları Departmanı tarafından ilgili kişilerin taleplerine, şirket Kişisel Verileri Koruma Komitesi’nin, talebin niteliğine göre yapacağı bir değerlendirme ile belirlenecek olan uygun ve kısa sürede ve her halde 30 gün içinde cevap verilir.
- KİŞİSEL VERİLERİ KORUMA KOMİTESİ …………………………………………………………
5.1. AMACI:
Kişisel Verileri Koruma Komitesi KVKK mevzuatı, işbu politika ve diğer ilgili mevzuat ve prosedürleri yönetmek ve politikanın yürürlüğünü sağlamak amacıyla kurulmuştur.
5.2. OLUŞUMU:
Komisyon Fabrika Müdürü, İnsan Kaynakları Sorumlusu, Bilgi İşlem/Bilgi Güvenliği Sorumlusu, Mali İşler Sorumlusu ve Yönetim Temsilcisi olmak üzere 5 kişiden oluşmaktadır. Komisyon gerek görülmesi halinde, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na uyum sağlamak amacıyla varsa çalıştığı KVKK danışmanı kişi ya da kişileri de komisyon görüşmelerine çağırabilir.
5.2. GÖREV VE SORUMLULUKLAR
Komisyon’un görev ve sorumlulukları aşağıda belirtilmiştir:
(I) Komisyon olağan olarak ayda bir toplanır. Olası bir veri ihlali oluşması gibi şartların gerektirmesi halinde olağanüstü toplanılabilir.
(II) Komisyon, Politika’da değiştirilmesi/geliştirilmesi gereken hususları tartışır. Veri sorumlusunun veri elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi işleme faaliyetleri özelinde veri işleme politikalarını ve süreçlerini oluşturur. Politika üzerindeki değişiklikler Komisyon tarafından hazırlanır, Genel Müdür’ün onayına sunulur.
(III) Kişisel verilerin hukuka uygun işlenmesi ve korunması adına yerine getirilebilecek hususları tespit eder. Bilgi güvenliğine dair, teknik inceleme sonucunda belirlenen zafiyetlerinin uygun yöntemlerle giderilmesi ve mevcut açıklıkların zafiyeti ile hangi senaryoların gerçekleşebileceğine dair analizi yapar, analiz raporu sonuçlarına uygun önlemlerin alınmasını sağlar. Bu kapsamda, şirketin risk yönetimi yapısı, güvenlik politikaları, bilgi güvenliği organizasyonu, insan kaynakları güvenliği, bilgi varlık yönetimi, erişim kontrolü güvenliği, fiziksel ve çevresel güvenliği, bilgi teknolojileri operasyonları ve iletişim güvenliği gibi konuları ele alır. Kişisel verilerin işlenmesi ve korunması hususunda karşılaşılabilecek riskleri tespit eder, gerekli idari ve teknik tedbirleri alır.
(IV) Komisyon, şirket içi ve müşteriler nezdinde KVKK farkındalığını artırmak için atılabilecek adımları belirler.
(V) Kurum ile irtibatı sağlar ve ilişkileri yönetir.
(VI) İlgili Kişi (Şikayet eden)’den gelen talepleri, varsa ihlale ilişkin iş ve işlemleri değerlendirir, ihlale ilişkin eylem planı oluşturur. İhlal, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi yoluyla gerçekleşmişse, Komite bu durumu 72 saat içerisinde ilgilisine ve Kurul’a bildirir.
(VII) Periyodik imha süreçlerini takip eder.
(VIII) Veri Envanteri’nin hazırlanmasını ve güncellenmesini sağlar.
(IX) Açık rıza gerektiren hallerin tespiti ve bu amaçla rıza metinlerinin ve tüm veri toplama faaliyetleri için de gerekli yasal bilgilendirilme metinlerinin hazırlanmasını ve kişisel verilerin 3. Kişilere aktarılması sonucunu doğuran her türlü sözleşmenin tadilini sağlar.
(X) Yukarıda sayılan hususlara ilişkin görevlendirmeleri yapar.
- SAKLAMA VE İMHA…………………………………………………………………………………………
Şirketimiz tarafından; çalışanlar, çalışan adayları, ziyaretçiler, müşteriler ve tedarikçiler gibi ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
- Saklamayı Gerektiren Hukuki Sebepler
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 213 sayılı Vergi Usul Kanunu,
- 193 Sayılı Gelir Vergisi Kanunu,
- 4458 sayılı Gümrük Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857 sayılı İş Kanunu,
- 2004 sayılı İcra ve İflas Kanunu,
- 3194 sayılı İmar Kanunu,
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler,
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır
- Saklamayı Gerektiren İşleme Amaçları
Şirketimiz, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
- Ticari ilişkilerimizin düzenlenmesi ve ticari güvenliğin sağlanması,
- Müşterilerimiz, iş ortaklarımız, şirketimiz çalışanları ve diğer 3. kişilerin hukuki ve fiziki güvenliğinin temin edilmesi,
- Şirketimizin kurumsal işleyişinin sağlanması,
- İnsan kaynakları süreçlerini yürütmek.
- Kurumsal iletişim faaliyetlerinin yürütülmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibinin yapılması,
- Şirket güvenliğini sağlamak,
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
- VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- İş ilişkisinde bulunduğumuz gerçek / tüzel kişilerle irtibat sağlamak.
- Yasal raporlamalar yapmak.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
- İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
- Kişisel Verileri İmha Teknikleri
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
- Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
- Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
- Saklama ve İmha Süreleri
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde,
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta,
yer alır.
- İDARİ PARA CEZALARI VE YAPTIRIM…………………………………………………………………..
6.1. Anılan kanuna göre yükümlülüklerini yerine getirmeyenler hakkında aşağıda belirtilmiş olan idari para cezaları uygulanır.
İHLAL EDİLEN HUSUS | ALT SINIR | ÜST SINIR |
Anılan Kanunun 10. Maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında; | 5.000-TL | 100.000-TL |
Anılan Kanunun 12. Maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenler hakkında; | 15.000-TL | 1.000.000-TL |
Anılan Kanunun 15. Maddesi uyarınca Kişisel Verileri Koruma Kurumu tarafından oluşturulan Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkına; | 25.000-TL | 1.000.000-TL |
Anılan Kanunun 16. Maddesinde öngörülen Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne aykırı hareket edenler hakkında; | 20.000-TL | 1.000.000-TL |
- YÜRÜRLÜK……………………………………………………………………………………………………
7.1. İşbu prosedür, 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanunun şirketimiz içerisindeki işleyişi ile ilgili olarak hazırlanmış olup şirketimizde yayınlandığı tarihte yürürlüğe girecektir.