Kişisel Veriler Saklama ve İmha Politikası

2 AS SOSYAL HİZMETLER TEMİZLİK TİCARET ANONİM ŞİRKETİ

Kişisel Veriler Saklama ve İmha Politikası

1- POLİTİKANIN AMAÇ VE KAPSAMI:
Kompozit Kimya ve Elektromekanik Malzeme ve Sanayi ve Ticaret Şirketi olarak ; Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Politikamızı, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 7. Maddesi uyarınca oluşturulan ilgili Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik içerisinde yer alan kişisel verilerin silinmesinden, yok edilmesinden veya anonimleştirilmesinden sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve Şirket tarafından uyulması gereken esasları belirlemek adına düzenledik.
Bu Politika’nın amacı, ilgili yönetmelikte belirtildiği üzere; tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında uygulanacak araç, program ve süreçlerin belirlenmesidir. Bu belirlenen koşullara Şirketimiz tarafından uyulacağını kabul ve taahhüt ediyoruz.
Bu Politika Şirket’in kişisel verileri işlediği herhangi bir sürece dahil olan tüm departmanlarını, çalışanlarını ve 3.kişileri kapsamaktadır.
Şirket’in kişisel veriler üzerinde uygulayacağı tüm imha faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda uygulanacaktır.
Şirket işbu politika ile kişisel veri bulunan aşağıda belirtilen ortamlardaki ve belirtilen ortamlara ek ortaya çıkabilecek tüm ortamlardaki kişisel verileri kapsamayı kabul eder. Kişisel veri olmayan veriler hakkında bu politika uygulanmayacaktır.
a) Şirket adına kullanılan bilgisayarlar/sunucular
b) Ağ cihazları,
c) Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücülrti
d) Bulut sistemleri,
e) Mobil telefonlar ve içerisindeki tüm saklama alanları,
f) Kağıt,
g) Mikrofiş,
h) Yazıcı, Parmak izi okuyucu gibi çevre birimler,
i) Manyetik bantlar,
j) Optik diskler,
k) Flash hafızalar.

2- POLİTİKAYA YÖNELİK TANIMLAR:
Politika’da ve ilgili yönetmelikte geçen tanımlar şu şekilde açıklanmaktadır;
Kanun: Kişisel Verilerin Korunması Kanunu
Yönetmelik: Kişisel Verilerin Korunması Kanunu’nun 7. Maddesi uyarınca oluşturulan ilgili Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’tir.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi yada birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkede aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak dayandırdıkları envanterdir.
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Sicil: Kişisel Veri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilidir.
Komite: Politikaya bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komiteyi ifade eder. (Kişisel Verilerin Korunması ve İşlenmesi Politikasındaki komiteyle aynıdır.)
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

3- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE
GETİRİLMESİ İLKELERİ:
• Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler şirketimiz tarafından resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir.
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler şirketimiz tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
• Şirketimiz, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri işbu Politika’da açıklayacaktır.
• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olan şirketimiz tarafından seçilir. İlgili kişinin bu yönde bir talebi olması halinde uygulayacağımız yöntem gerekçesi açıklanarak seçilecektir.

4- KİŞİSEL VERİLERİN İMHASI:
Kişisel verilerin imhası, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır.

- Kişisel Verilerin Silinmesi:
Kişisel verilerin silinmesi, verilerin tamamen veya otomatik yollarla işlediği durumlarda yapılacaktır. Şirket, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirecektir. Bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti etmelidir. Verilen bu garantinin teminatı şirketimizdir.
Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alacaktır.
Silme sırasında, silinmemesi gereken kişisel veriler de yapılan silmeden etkileniyorsa ve erişilemeyecek ve/veya kullanılamayacak hale geliyorsa Şirket’in, Veri Sorumlusu ve Şirket Hukuk Departmanı ile birlikte karar alarak uygulayabileceği aşağıdaki yöntemlerin bir arada sağlanması da silme olarak değerlendirilecektir:
a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek şekilde arşivlenerek,
b) Kişisel verilerin her türlü erişime kapatılarak,
c) Kişisel verilere yalnızca gerekli durumlarda ve yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde, gerekli her türlü teknik ve idari tedbirlerin alınması yolları şirketimizce seçilebilecektir.
Belirtilen silme, yok etme ve anonimleştirme yöntemleri, Yönetmelik’e bağlı olup ilgili durumlarda güncellenmesi şirketimizin sorumluluğundadır.

- Kişisel Verilerin Yok Edilmesi:
Kişisel verilerin yok edilmesi, verilerin hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Bu işlemler sırasında Şirket çalışanları ve ilgili departmanlar; komiteye yok edilecek ilgili kişisel verileri bildirmekle yükümlüdür.
Veri sorumlusu olarak şirketimiz kişisel verilerin yok edilmesine ilişkin gerekli her türlü teknik ve idari tedbiri alacaktır.

- Kişisel Verilerin Anonimleştirilmesi:
Kişisel verilerin anonimleştirilmesi, verilerin tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonimleştirilmesi için şirket çalışanları görevidir. Komite, verilerin yok edilmesi için denetimi kendisi tarafından yapılmak kaydıyla Şirket’in farklı departmanlarından destek alabilir.
Verilerin anonimleştirilmesi sırasında şirket geri dönülemez şekilde maskeleme, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanılabilir. Uygulanacak yöntemin doğruluğu, Komite tarafından onaylanamıyorsa kurula danışılmalıdır.

5. KİŞİSEL VERİ İŞLEME ŞARTLARINI ORTADAN KALDIRAN HALLER:
Aşağıda belirtilen kapsamda bir ihlal olması durumunda Şirket tarafından aksiyon alınacaktır:
- Kanun’a Aykırılık
• Şirket, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemediğini taahhüt eder. Yani Şirket Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;
a) Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin kişisel verilerini saklamaz.
b) Şirket, özel nitelikli kişisel verileri sakladığı durumlarda, verileri ilgili Kanun’a bağlı kalarak Komitenin bilgisi dahilinde işlemelidir.
- Veri İşlenme Şartlarının Ortadan Kalkması:
• Şirket, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.
• Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Komite, şartların ortadan kalktığı durumlarda işbu Politika’ya uygun bir şekilde verileri yok etmek, silmek ya da anonimleştirmekle yükümlüdür.
Şirket aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:
a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
e) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
f) İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
g) Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
h) Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

6. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası için Şirket, imha sırasında kullanılabilecek tüm yöntemleri işbu Politika’da tanımlar. Komite, işbu Politika içerisindeki uygun yöntemi, uygun duruma göre belirleyerek uygulamakla yükümlüdür.
İmha işleminde; Komiteye ek olarak aşağıda belirtilen departmanların atadığı Şirket çalışanlarından oluşan “İmha Grubu” bulunacak olup, katılımcıların tamlığının sağlanamaması durumunda imha işlemi ertelenecektir. Sürecin eksik işletilmesi durumunda, sorumluluk Komisyona ve ek olarak İmha Grubu’na da ait olacaktır.
Sürece uygun olarak yapılmayan imhalar, Şirket tarafından değerlendirilecek olup Şirket “İmha Grubu”na ve Komisyona yaptırım hakkını saklı tutar.
Kişisel verilerin imhası sırasında Şirket çalışanları aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirmek durumundadır:
Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.
Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemdir.
Manyetize Etme: Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
Fiziksel Yok Etme: Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.
Bulut İmhası: Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.
Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası: Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

Anonimleştirme Teknikleri:
- Maskeleme: Kişisel verinin temel belirleyici bilgisi veri seti içerisinden çıkarılarak, kişisel verinin anonimleştirilmesi halidir.
- Toplulaştırma: Verilerin tek tek gösterilmeksizin, herhangi bir kişiyle ilişkilendirilemeyecek bir şekilde toplulaştırılmasıdır.
- Veri Türetme: Kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesidir.
- Veri Karma: Kişisel veri seti içindeki değerlerin karıştırılarak, kişiler arasındaki bağın koparılmasıdır.

7. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
Konuyla alakalı yeni mevzuatlar ile belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Şirket politikasını ilgili mevzuatlara uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.
İşbu Politika’nın Şirket tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Şirket uygulayacağı adımları, gerek görülmesi durumunda Kurul’a da danışarak, yeniden belirleyecektir.
İlgili web adresi:

8. POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika 01.08.2017 tarihinde yürürlüğe girmiştir.

YUKARI