6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU
UYARINCA AYDINLATMA METNİ
1. GİRİŞ, AMAÇ VE KAPSAM
2. TANIMLAR
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
- a. Hukuka ve dürüstlük kuralına uygun olma,
- b. Doğru ve gerektiğinde güncel olma,
- c. Belirli, açık ve meşru amaçlar için işlenme,
- d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin işlenme amacı,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarıldığı,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kişisel verisi işlenen kişinin KVKK’nın 11. maddesinde düzenlenen hakları
- İlgili kişinin açık rızası,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin bulunması ve ilgili şartın gerektirdiği amaç ve kapsamda işleme yapılması, kişisel verilerin işlenmesini hukuka uygun hale getirir.
- a. Veri sorumlusunun ve varsa temsilcisinin kimliği,
- b. Kişisel verilerin hangi amaçla işleneceği,
- c. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- d. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- e. 11. maddede sayılan diğer hakları konusunda bilgi verilmektedir.
- Kişilerin ırkı,
- Etnik kökeni,
- Siyasi düşüncesi,
- Felsefi inancı,
- Dini, mezhebi veya diğer inançları,
- Kılık ve kıyafeti,
- Dernek, vakıf ya da sendika üyeliği,
- Sağlığı,
- Cinsel hayatı,
- Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri,
- Biyometrik ve genetik verileri
- İş ortakları, şirketimizin ticari faaliyetlerini sürdürürken muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar anlamına gelmektedir. İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olmak üzere kişisel veriler iş ortaklarımıza aktarılabilmektedir.
- Tedarikçi, şirketimizin ticari faaliyetlerini yürütürken, sözleşme temelli olarak şirketimizin talimatlarına uygun olarak şirketimize hizmet sunan tarafları ifade etmektedir. Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin şirketimize sunulmasını sağlamak amacıyla sınırlı olmak kaydıyla kişisel veriler tedarikçilerimize aktarılabilmektedir.
- Şirket yetkilileri, şirketimizin yönetim kurulu üyeleri ve diğer yetkili gerçek kişileri ifade etmektedir. İlgili mevzuat hükümlerine göre şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak kişisel veriler, şirket yetkililerine aktarılabilmektedir.
- Hukuken yetkili kamu kurum ve kuruluşları, ilgili mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarını ifade etmektedir. İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kişisel veriler, yetkili kamu kurum ve kuruluşlarına aktarılabilmektedir.
- Hukuken yetkili özel hukuk kişileri, ilgili mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerini ifade etmektedir. İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olmak kaydıyla kişisel veriler, yetkili özel hukuk tüzel kişilerine aktarılabilmektedir.
- Kişisel veri sahibinin açık rızası var ise,
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, ilgili kişi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise kişisel veriler yukarıda belirtilen kişi ya da kişi gruplarına aktarılabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya,
- Kişisel veri sahibinin açık rızası yok ise, kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler) kanunlarda öngörülen hallerde
- Kişisel veri sahibinin sağlığına ilişkin özel nitelikli kişisel verileri ise yalnızca gerektiği hallerde ilgili kurum ve kuruluşlara aktarılmaktadır.
- Cinsel hayata ilişkin olarak şirketimizce herhangi bir veri işlenmediğinden, bu kapsamda cinsel hayata ilişkin kişisel verilerin aktarılması da söz konusu değildir.
4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
KİŞİSEL VERİ KATEGORİZASYONU |
AÇIKLAMA |
İletişim Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, telefon numarası, adres, adres no, e-posta adresi, kep adresi, faks numarası, gibi bilgiler |
Lokasyon Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, kişisel veri sahibinin şirketin iş birimleri tarafından yürütülen operasyonlar çerçevesinde, şirket araçlarını kullanan personelin bulunduğu yerin konumunu tespit eden bilgiler, GPRS lokasyonu, anlık konum bilgisi, konum bulmaya yönelik çerez bilgileri vs. |
İşlem Güvenliği Verisi |
Şirketin faaliyetlerini yürütürken gerek kişisel veri sahibinin gerekse de şirketin teknik, idari, hukuki ve ticari güvenliğine ilişkin olarak işlenen IP adresi bilgileri, internet sitesi giriş-çıkış bilgileri, şifre ve parola bilgileri, güvenlik adları, kullanıcı adları, e-imza, oturum anahtarı bilgileri, şifreleme yöntemi, çerez bilgileri, işlem güvenliği bilgisi, dijital tanımlayıcılar, üyelik bilgileri vs. |
Fiziksel Mekân Güvenliği Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler, kamera kayıtları, görüntü kayıtları çalışan ve ziyaretçilerin giriş- çıkış kayıtları vs. |
Finansal Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirketin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile kkb sorgu, kkb kayıtları, kredibiliteye ait bilgiler, kredi kartı borcu, kredi ödemeleri, banka hesap dökümü, faiz tutarı, faiz oranı, borç bakiyesi, alacak bakiyesi, yatırım tercihi, birikim, haciz, tedbir, tapu ve kira sözleşmesi, ciro, kredi kartı numarası, banka hesap numarası, IBAN numarası, findeks notu, çek-enet tutarları, akreditif bilgileri, maaş ödeme dekontu, finansal profil, mail order bilgisi, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler |
Görsel-İşitsel Kayıt Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, fotoğraf ve kamera kayıtları (fiziksel mekân güvenlik bilgisi kapsamına giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
Özlük Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük halklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları, yıllık izin-ücretsiz izin formları, işten ayrılma tarihi, işten ayrılma sebebi, disiplin suçu kaydı, çalışanın işyerine giriş-çıkış saatleri, personel numarası, SGK işe giriş bildirgesi, SGK işten çıkış bildirgesi, SGK tahakkuk fişi, SGK ödeme dekontu, ayakkabı numarası, beden ölçüsü, meslek yeterlilik belgesi, doğum-ölüm-evlenme izin formları, iş sağlığı ve güvenliği sertifikası, askerlik durumu, SGK hizmet dökümü, SGK bildirim kaydı, ücret, eğitim, istihdam tarihi, fotoğraf, bordro çalışma saati, eski işyerinden çalışma belgesi, geçmişte alınan ihtar ve cezalar, iş grubu, meslek kodu, işten ayrılma sebebi, sertifika ve yetkinlik belgesi, referans kişi bilgisi, özgeçmiş gibi her türlü kişisel veri |
Hukuki İşlem Verisi |
Şirketin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler, adli makamlarla yazışmalardaki veriler, dava dosyasındaki veriler, yan haklar ve menfaatler bilgisi, hukuki işlem ve uyum bilgisi, denetim ve teftiş bilgisi, araç muayene ve kontrol formu, talep-şikâyet yönetimi bilgisi, ticari olarak hassas işlenecek veri, olay yönetimi bilgisi vs. |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin işe alım süreçlerinin yönetilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen adli sicil kaydı gibi ceza mahkumiyeti ve güvenlik tedbirlerine ilişki bilgiler |
Mesleki Deneyim Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin işe alım süreçlerinin yönetilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen eğitim-öğretim gördüğü okullara ilişkin bilgiler, diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri vs. |
İmza Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, özellikle sözleşmelerin akdedilmesine temel olmak üzere işlenen imza bilgisi. |
Müşteri İşlem Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, çağrı merkezi kayıtları, fatura, çek, senet bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi vs. |
Risk Yönetimi Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ticari, teknik, idari risklerin yönetilmesi için işlenen risk yönetimi bilgisi, adres kayıt sistemin kayıtları, IP adresi bilgisi, Mac adresi bilgisi, cihaz modeli, tipi, cihaz seri numarası bilgisi, işletim sistemi bilgileri, internet tarayıcı bilgileri, IMEI numarası, bilgisayar adı, imza sirküleri, vs. |
Sağlık Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, sağlık bilgileri, engellilik bilgisi, kan grubu, sigorta sağlık bilgileri, seyahat sağlık sigortası, sağlık raporu, psikoteknik belgesi, kullanılan cihaz ve protez bilgileri vs. |
Seyahat Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen uçuş bilgileri, konaklama bilgisi vs. |
- Çalışan,
- Çalışan adayı,
- Çalışan yakını,
- Mülk sahibi,
- Potansiyel ürün veya hizmet alıcısı,
- Ürün veya hizmet alıcısı,
- Tedarikçi Çalışanı,
- Tedarikçi yetkilisi,
- Veli/vasi/temsilci ile sınırlıdır.
- Şirketimizin kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
- Etkinlik yönetimi,
- İş ortakları, tedarikçiler veya müşterilerle olan ilişkilerin yönetimi,
- Şirketimizin personel temin süreçlerinin yürütülmesi,
- Şirketimizin finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
- Şirketimizin hukuk işlerinin icrası/takibi,
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
- Kurumsal yönetim faaliyetlerinin icrası,
- Şirketimizin ticari politikalarının tespiti, planlanması ve uygulanması,
- Şirketimizin pazarlama faaliyetlerinin yürütülmesi,
- Şirketimizin geçmiş, mevcut ve müstakbel çalışanları, yetkilileri, temsilcileri, ortakları, müşterileri, tedarikçileri, iş ortakları, danışmanları, hizmet sağlayıcıları ve bunların çalışanlarının tercih ve ihtiyaçlarının tespit edilmesi,
- Şirketimiz ve şirketimiz ile iş ilişkisi içerisinde olan gerçek veya tüzel kişilerin hukuki ve ticari güvenliğinin sağlanması,
- Şirketimize ait ofis, işyeri, tesis vb. tüm lokasyonların fiziksel güvenliğinin ve denetiminin sağlanması,
- Şirketimizin müşterilerini değerlendirme, ürün vs. ilişkin şikâyet yönetimi süreçleri,
- İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması,
- Ticari ortaklıkların ve stratejilerin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
- Şirketimizin, iş ortaklarımızın, hukuki, ticari ve fiziki güvenliğinin temini,
- Talep ve şikayetlerin yönetimi,
- Veri güvenliğinin en üst düzeyde sağlanması,
- Veri tabanlarının oluşturulması,
- Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi,
- Şirketimiz faaliyetlerine ilişkin prosedürlerin belirlenmesi ve ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
- Şirketimizin itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
- Yetkili kişi, kurum ve kuruluşlara mevzuattan kaynaklı olarak bilgi verilmesi amaçları çerçevesinde işlenmektedir.
5. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
- i. Maskeleme: Veri maskeleme, kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin kişisel veri sahibinin tanımlanmasını sağlayan isim, T.C. Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi gibi.
- ii. Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin çalışanların yaşlarını tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması gibi.
- iii. Veri Türetme: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin doğum tarihleri yerine yaşların belirtilmesi, açık adres yerine ikamet edilen bölgenin belirtilmesi gibi.
- iv. Veri Karma: Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örneğin ses kayıtlarının niteliğinin değiştirilerek sesler ve veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi gibi.
- i. Hizmet Olarak Uygulama Türü Bulut Çözümleri: Bulut sisteminde veriler silme komutu verilerek silinmelidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmelidir.
- ii. Kâğıt Ortamında Bulunan Kişisel Veriler: Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmelidir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
- iii. Merkezi Sunucuda Yer Alan Ofis Dosyaları: Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmelidir.
- iv. Taşınabilir Medyada Bulunan Kişisel Veriler: Taşınabilir medyalarda gizli seviyede hiçbir veri taşınmamaktadır. Taşınabilir ortamda olan kişisel veriler, söz konusu donanıma uygun yazılımlar ile silinmelidir.
- v. Veri Tabanları: Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinmesi gerekir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmelidir.
- i. Yerel Sistemler: Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden biri veya birkaçı kullanılabilir.
- a. De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
- b. Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilemez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerekir.
- c. Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eksi verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
- d. Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak/erişilemeyecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
- e. Uzman Tarafından Güvenli Olarak Silme: Şirketimiz bazı durumlarda kendi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda kişisel veriler, bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak/erişilemeyecek biçimde güvenli olarak silinir/yok edilir.
- ii. Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır.
- a. Ağ cihazları (swich, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir, ama yok etme özelliği bulunmamaktadır. Belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
- b. Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ara yüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemlerini kullanmak ya da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
- c. Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
- d. Manyetik disk gibi üniteler: Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
- e. Mobil Telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
- f. Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
- g. Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
- h. Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. Belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
- iii. Kâğıt ve Mikrofiş Ortamlar: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı, kâğıt imha veya kırpma makineleri ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir. Orijinal kâğıt formattan tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre yukarıda belirtilen uygun yöntemlerin bir veya birkaçı kullanılmak suretiyle yok edilmesi gerekir.
- iv. Bulut sistemler: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.
- Kişisel verilerde takma ad kullanımı ve şifreleme,
- İşleme sistemleri ve hizmetlerinin gizliliği, bütünlüğü, elverişliliği ve esnekliğinin sürekli olarak sağlanabilmesi,
- Fiziksel veya teknik bir olay halinde kişisel verilerin elverişliliği ve kişisel verilere erişimin vakitlice eski haline getirilebilmesi,
- İşleme faaliyetinin güvenliğinin sağlanmasına yönelik olarak teknik ve düzenlemeye ilişkin tedbirlerin etkililiğinin düzenli olarak sınanması, ölçülmesi ve değerlendirilmesine ilişkin süreç oluşturulması gibi uygun güvenlik tedbirleri alınmalıdır.
- Teknoloji ve bilimsel gelişme seviyesi,
- Uygulama maliyeti,
- İşleme faaliyetinin doğası, önemi, kapsamı, bağlam ve amacı,
- Gerçek kişilerin hak ve özgürlükleri açısından çeşitli olasılık ve ciddiyetlere sahip risklerin olup olmadığı
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilerin hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- Şirketimiz tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler gelişmelere paralel olarak güncelleştirilmekte ve iyileştirilmektedir.
- İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Alınan teknik önlemler, periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
- Saklama alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
- Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, kişisel verilerin bulunduğu depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Teknik konularda, uzman personel istihdam edilmektedir.
- Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmaktadır.
- Güvenliği temin edecek yazılım ve sistemler kurulmaktadır.
- Şirketimiz bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılmaktadır.
6.2- İdari Tedbirler
- Kişisel verilerin korunması hukukuna ilişkin olarak çalışanlarımıza eğitim verilmekte ve çalışanlarımızın bilinçlenmesi sağlanmaktadır.
- Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Şirket tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
- Şirketimizin yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
- Şirketimizin iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri, bu faaliyetlerin kanunun aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan gereklilikler, her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
- İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler, şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
- Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, şirketin talimatları ve kanunla getirilen istisnalar dışında kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta, bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülerek kanundan doğan yükümlülükler yerine getirilmektedir.
- Çalışanlardan öğrendikleri kişisel verileri kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
- Kişisel verilerin aktarıma konu olduğu durumlarda şirketimiz tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi temin edilir.
- Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenmekte, bu kapsamda kanunda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar tespit edilmektedir.
- Şirketimiz, kanuna uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit ederek, bu uygulamaları iç politikalar ile düzenler.
- Çalışanlar ile ilgili kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak,
- Çalışanlar ile ilgili kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak,
- Kişisel Verilerin Korunması Kanunun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
- Kişisel verilerin korunması ve işlenmesi konusunda şirket içinde ve iş birliği içerisinde olunan kurumlar nezdinde farkındalığı artırmak,
- Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini sunmak,
- Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak
- Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
- Kişisel veri sahiplerinin, şirketin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını kontrol etmek,
- Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak,
- Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak şirket operasyonlarında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
- Kişisel Verileri Koruma Kurulu ve Kişisel Verileri Koruma Kurumu ile olan ilişkileri yönetmek,
- Şirket yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek
7. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
- i. Başvuru formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile Mimar Sinan O.S.B. Mah. 2. Cad. No:11 Melikgazi/KAYSERİ adresine iletilmesi,
- ii. Başvuru formu doldurulup 5070 sayılı Elektronik İmza Kanunu kapsamındaki güvenli elektronik imza ile imzalandıktan sonra güvenli elektronik imzalı formun şirketimizin kep adresine kayıtlı elektronik posta ile gönderilmesi gerekmektedir.
- Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi
- Kişisel veril işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması
- İlgili kişinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,
- Orantısız çaba gerektiren taleplerde bulunulmuş olması,
- Talep edilen bilginin kamuya açık bir bilgi olması halinde de yapılan başvuru, şirketimiz tarafından reddedilebilecektir.