Bireysel Giriş Kurumsal Giriş
08504413772 info@essahukukvedns.com.tr

ESSA HUKUK ve DANIŞMANLIK ÖZEL NİTELİKLİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. İMHA POLİTİKASININ AMACI

İşbu “Özel Nitelikli Kişisel Veri Saklama ve İmha Politikası’nın” hazırlanma amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı kararı ve diğer ilgili kararları uyarınca Essa Hukuk ve Danışmanlık tarafından işlenen özel nitelikli kişisel verilerin saklanması ve imhasına ilişkin faaliyetlerin usul ve esaslarını belirlemektir.

2. İMHA POLİTİKASININ KAPSAMI

Essa tarafından işlenen özel nitelikli kişisel veriler, bu Politika kapsamındadır. Essa’nın sahip olduğu ya da Essa tarafından yönetilen özel nitelikli kişisel verilerin işlendiği tüm kayıt ortamları ve özel nitelikli kişisel verilerin işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

Özel nitelikli kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, bu doğrultuda hazırlanmış olan Politika’ya uygun olarak gerçekleştirilir.

3. TANIMLAR

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Essa:Essa Hukuk ve Danışmanlık

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Özel Nitelikli Kişisel Veri Saklama ve İmha Politikası

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Yönetmelik: 28.10.2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

4. SORUMLULUK VE GÖREV DAĞILIMI

Essa’nın tüm birimleri ve çalışanları, Politika doğrultusunda alınan teknik ve idari tedbirlerin uygulanması, çalışanların eğitimi ve farkındalığının arttırılması, izlenmesi ve denetimi ile özel nitelikli kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve özel nitelikli kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlularla dayanışma içerisinde hareket eder.

Unvan Görev
Genel Müdür Çalışanların politikaya uygun hareket etmesinden sorumludur.
Genel Müdür Yardımcısı Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi ve idari tedbirlerin alınmasından sorumludur.
Bilgi İşlem ve Operasyon Birimi Politika’nın uygulanmasında teknik tedbirlerin sunulmasından sorumludur.

5. KAYIT ORTAMLARI

Elektronik Ortamlar Elektronik Olmayan Ortamlar
  1. 1. Sunucular (Bulut ortam, veri tabanı,yedekleme, e-posta, web)
  2. 2. Yazılımlar (ofis yazılımları, portal)
  3. 3. Çalışan bilgisayarları ve mobil aygıtlar
  4. 4. Harici bellekler
  5. 5. Yazıcı, tarayıcı, fotokopi makinesi
  1. 1. Kâğıt
  2. 2. Şirket arşivi

6. SAKLAMA VE İMHA SEBEPLERİNE İLİŞKİN AÇIKLAMA

Essa’nın faaliyetleri çerçevesinde işlenen özel nitelikli kişisel veriler; hukuka ve dürüstlük kurallarına uygun, doğru ve güncel, belirli, açık ve meşru amaçlar doğrultusunda, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenir. Bu kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme koşulu ile saklanır.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Özel nitelikli kişisel veriler, ifşa olması veya ilgisi olmayan kişilerce bilinmesi halinde ilgili kişinin toplum hayatında ayrımcılığa uğramasına, maddi ve manevi varlığının ihlal edilmesine ve telafisi güç veya imkânsız zararların doğmasına neden olması kuvvetle muhtemel veri türleridir. Bu nedenle özel nitelikli kişisel verilerin işlenebilmesi için Kanun’da hususi hukuki sebepler öngörülmüştür.

Essa, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri; Kanun’da belirtilen şu hukuki sebeplere dayanarak işler:

  • İlgili kişinin açık rızası,
  • Kanunlarda açıkça öngörülmesi.

kişisel sağlık verileri ile cinsel yaşama ilişkin bilgileri, ilgilinin açık rızasının bulunması halinde işlemektedir. Bununla birlikte kişisel sağlık verileri ile cinsel yaşama ilişkin bilgiler; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Tüm bunların yanı sıra Essa, özel nitelikli kişisel verileri, Kanun’un 6’ncı maddesinin dördüncü fıkrası gereğince alınan Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı kararında belirtilen önlemleri almak ve gerekli işlemleri yerine getirmek suretiyle işlemektedir.

Essa, aşağıda sayılan hallerde kişisel verileri re’sen veya talep üzerine siler, yok eder veya anonim hale getirir:

  • Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Essa tarafından kabul edilmesi,
  • Essa’nın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurumuna şikâyette bulunması ve bu talebin Kurumca uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

7. TEKNİK VE İDARİ TEDBİRLER

Özel nitelikli kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ve hukuka uygun olarak imha edilmesi için Kanun’un 12’nci maddesi ve 6’ncı maddesinin dördüncü fıkrası ile Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 sayılı kararı uyarınca gerekli teknik ve idari tedbirler alınır.

7.1.Teknik Tedbirler
  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
7.2.İdari Tedbirler
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Özel nitelikli kişisel verileri için mevcut risk ve tehditler belirlenmiştir.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

8. İMHAYA İLİŞKİN TEDBİRLER VE TEKNİKLER

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Essa tarafından re’sen veya ilgili kişinin talebi üzerine aşağıda belirtilen tekniklerle imha edilir.

8.1.Silme
Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan Özel Nitelikli Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Özel Nitelikli Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Özel Nitelikli Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır
Harici Belleklerde Bulunan Özel Nitelikli Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
8.2.Yok Etme
Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan Özel Nitelikli Kişisel Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Özel Nitelikli Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır
8.3.Anonim Hale Getirme

Kişisel verilerin hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesine anonim hale getirme adı verilir. Anonimleştirmeden bahsedebilmek için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

9. SAKLAMA VE İMHA SÜRELERİ

Hizmetler Saklama Süresi İmha Süresi
Çalışanlarımızın kişisel sağlık bilgileri İş sözleşmenin sona ermesinden sonra 10 yıl Saklama süresinin sona ermesinden itibaren 180 gün içerisinde
Çalışanlarımızın ceza mahkumiyetine ve güvenlik tedbirlerine ilişkin bilgiler İş sözleşmenin sona ermesinden sonra 10 yıl Saklama süresinin sona ermesinden itibaren 180 gün içerisinde
Danışmanlık hizmeti sunulan müşterilerimizin özel nitelikli kişisel verileri 15 yıl Saklama süresinin sona ermesinden itibaren 180 gün içerisinde

10. POLİTİKA’NIN GÜNCELLENMESİ

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

Dosya Takip Sistemi Yardım İster Misiniz?