KİŞİSEL VERİLERİN KORUNMASI, SAKLAMA VE İMHA POLİTİKASI

AMAÇ

“6698 Sayılı Kişisel Verilerin Korunması Kanunu” (KVKK) ve bu kanuna dayanılarak çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” gereği kişisel verilerin saklanması, anonimleştirilmesi ve silinmesi konularında, başta kişisel verilerin işlendikleri amaç için gerekli olan azami sürelerin tespiti ile verilerin anonimleştirilmesi, silinmesi ve yok edilmesi süreçlerini düzenlemek olmak üzere, öngörülen yükümlülüklerin yerine getirilmesi ve bu konularda veri sahiplerinin bilgilendirilmesi amacıyla veri sorumlusu sıfatıyla Ordel Ortadoğu Elektronik San. ve Tic. Ltd. Şti.’nin Kişisel Veri Saklama ve İmha Politikası’nın tanımlanması ve uygulama esaslarının belirlenmesidir.

Kayıt Ortamı

Bu politikanın uygulanmasında kayıt ortamı, kişisel verilerin bulunduğu her türlü ortam anlamına gelmektedir. Şirket, işlediği kişisel verileri başta “Kişisel Verileri Koruma Kanunu” olmak üzere ilgili mevzuata uygun olarak ve veri güvenliğine ilişkin en güncel tedbirleri almak suretiyle aşağıdaki kayıt ortamlarında saklamaktadır.

Bu bağlamda Şirketteki kayıt ortamları,

• Sistem odasında muhafaza edilen ve düzenli olarak yedeklenen bilgi depolama (data storage) ortamları
• Bulut hizmeti kapsamında muhafaza edilen ve düzenli olarak yedeklenen bilgi depoalama ortamları
• Çalışma bilgisayarları
• ERP Uygulaması
• Bölüm/Birim Dolapları
• Arşiv Dolapları

Kişisel Verilerin Saklanması ve İmhasını Gerektiren Hukuki, Teknik ve Diğer Sebepler Veri sahiplerine ait kişisel verilerin işlenmesi

Veri sahiplerine ait kişisel veriler, Şirket tarafından aşağıda belirtilen amaçlarla işlenebilir.

• Şirket politikalarının uygulanması ve şirket organizasyonunun sağlanması,
• Şirketin ticari faaliyetlerini yerine getirmek için tedarikçilerden dış kaynaklı olarak temin ettiği hizmetlerin sağlanması,
• Şirketin mevzuattan kaynaklanan yükümlülüklerinin yerine getirilmesi,
• Şirketin gerekli kalite ve standart denetimlerini yapabilmesi ya da kanun ve yönetmelikler ile belirlenmiş raporlama ve sair yükümlülüklerinin yerine getirilmesi,
• Şirketin insan kaynakları politikaları kapsamında açık pozisyonlara uygun insan kaynağının temin edilmesi,
• Şirket faaliyetlerinin etkin bir şekilde icra edilmesi,
• Yapılan iş başvurusunun değerlendirilmesi, sonuçlandırılabilmesi ve gerektiğinde başvuruda bulunan ile iletişime geçilmesi,
• İş sözleşmesinin kurulması ve ifası,
• İş sözleşmesinden ve mevzuattan kaynaklanan hakların korunması,
• İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu başta olmak üzere ilgili mevzuat hükümleri çerçevesinde gerekli işlemlerin yapılması,
• İnsan kaynakları politikası çerçevesinde performans düzeyinin ve çalışan memnuniyetinin artırılması,
• İş görme edimi nedeniyle çalışanlara tahsis edilen ve aynı zamanda özel kullanıma da sunulan her türlü araç ve gerecin işveren tarafından çalışma saatleri ile sınırlı olmaksızın denetim, kontrol ve takibe tabi tutulabilmesi,
• İşverenin yönetim ve denetim hakkı kapsamında biyometrik veriler yoluyla mesai takibini sağlaması, İş güvenliğinin, genel güvenliğin ve bina güvenliğinin sağlanması,
• “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun” gereği internet ortamında gerçekleştirilen her türlü erişime ilişkin trafik bilgisinin kayıt altına alınması,

Veri sahiplerine ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen ya da talep üzerine silinir, yok edilir veya anonim hale getirilir.

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve/veya kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Kişisel Verilerin Güvenli Şekilde Saklanması ve Hukuka Uygun Olarak İşlenmesi İçin Alınan Teknik ve İdari Tedbirler

Teknik Tedbirler

• Teknik konularda uzman çalışan istihdam edilmektedir.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve donanım kullanılmaktadır.
• Kişisel verilerin güvenli biçimde saklanmasını sağlamak üzere hukuka uygun yedekleme programları kullanılmaktadır.
• Kişisel verilerin bulunduğu veri depolama alanlarına erişim kayıt altına alınmakta (loglama), yetkisiz erişim veya erişim denemeleri ilgililere anlık olarak iletilmektedir.

İdari Tedbirler

• Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi ve saklanması konusunda bilgilendirilmekte ve eğitilmektedir.
• Kişisel Veri Envanterinde kişisel verileri işleyecek, saklayacak, erişebilecek çalışanlar belirlenmiştir.
• Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve Şirket ile çalışanlar arasındaki sözleşmelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmaktadır.-

Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınan Teknik ve İdari Tedbirler Teknik Tedbirler

• Siber güvenlik altyapısını oluşturmak üzere gerekli yazılımlar alınmış, güvenlik duvarı ve ağ geçidi gibi tedbirler oluşturulmuştur.
• Yazılım güncellemeleri düzenli olarak yapılmakta ve güvenlik tedbirlerinin sistematik şekilde çalışması sağlanmaktadır.
• Gerek fiziki ortamda gerekse elektronik ortamda saklanan kişisel verilere erişim sınırlandırılmakta, erişim yetkisine sahip çalışanlar önceden belirlenmektedir.
• Kötü amaçlı yazılımlardan korunmak için bilgi işlem sistem ağını düzenli olarak tarayan, tehlikeleri tespit eden antivirüs, antispam gibi yazılımlar kullanılmakta, ayrıca bunlar güncel tutularak gerekli güvenlik taraması yapılmaktadır.
• Tüm kullanıcı işlemleri kayıt altına (loglama) alınmaktadır.
• Güvenlik sorunları hızlı şekilde tespit edilip, derhal ilgilisine raporlanmaktadır.
• Fiziksel kayıt ortamları yangın, sel, su basması gibi risklere karşı korunmakta ve bu alanlara erişim kontrol altında tutulmaktadır.
• Elektronik ortamda bulunan kişisel veriler, kaybolma veya zarar görme ihtimaline karşı düzenli olarak yedeklenmektedir.

İdari Tedbirler

• Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak imha edilmesi konusunda bilgilendirilmekte ve eğitilmektedir.
• Kişisel Veri Envanterinde kayıtlı olan kişisel verileri imha edecek çalışanlar belirlenmiştir.
• Şirket bünyesinde gerçekleştirilen kişisel veri saklama ve imha faaliyetleri denetlenmektedir.
• Alınan teknik önlemler ilgilisine raporlanmaktadır.
• Teknik konularda uzman çalışan istihdam edilmektedir.

Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Kullanılan Yöntemler

Kişisel veriler  kayıtlı bulundukları  ortama uygun yöntemlerle silinir.

Kişisel Verilerin Silinmesi Yöntemleri

Bulut Sistemlerinde Bulunan Kişisel Veriler, silme komutu verilerek silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilir. Kağıt Ortamında Bulunan Kişisel Veriler, karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle Taşınabilir Medyada Bulunan Kişisel Veriler, üzerine yazma yöntemi ile veya uygun yazılımlarla silinir.

Kişisel Verilerin Yok Edilmesi Yöntemleri

Yerel sistemlerde bulunan kişisel veriler, fiziksel yok etme ya da üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.

Çevresel sistemlerde bulunan kişisel veriler;

• Ağ Cihazları:  Switch, router vb.’de manyetize  etme,  fiziksel  yok  etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
• Flash Tabanlı Ortamlar: İlgili üreticinin önerdiği yöntemler ya da fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
• Sim Kart ve Sabit Hafıza Kartları: Fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
• Optik Diskler: Fiziksel yöntemlerle yok edilir.
• Veri Kayıt Ortamı Sabit Olan Yazıcı, Parmak İzli Kapı Geçiş Sistemi Gibi Çevre Birimleri: Fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir. Kağıt ortamında bulunan kişisel veriler, kağıt imha makinaları kullanılarak yok edilmek üzere gizlilik sözlşemeli firmalara verilir.

Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri

Kişisel verilerin anonim hale getirilmesi aşamasında, Kişisel Verileri Koruma Kurumu’nun yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberinde gösterilen Kişisel Verilerin Anonim hale getirilmesi yöntemlerinden uygun olanı kullanılır.