YENİKÖY KEMERKÖY Yerli Kaynak Güçlü Enerji
tr

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

GİRİŞ

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup “kimliği belirli veya belirlenebilir” gerçek kişilere (“ilgili kişi”) ilişkin her türlü bilginin işlenmesine ilişkin düzenlemeleri içermektedir. Yeniköy Kemerköy Elektrik Üretim ve Ticaret A.Ş. (“Şirket”) olarak Kanun gereği kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor, tüm planlama ile faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle Şirketimiz, kişisel verilerin korunması ve işlenmesi için tüm idari ve teknik tedbirleri almaktadır. Bu konunun en önemli ayağını ise işbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile yönetilen; Çalışan Adaylarımızın, Şirket Hissedarlarının, Şirket Yetkililerinin, Ziyaretçilerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanlarının, Hissedarlarının, Yetkililerinin ve Üçüncü Kişilerin kişisel verilerinin korunması ve imhası oluşturmaktadır.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.

POLİTİKA’NIN AMACI 

İşbu Politika’nın amacını, Şirketimizce gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin usul ve esasların belirlenmesi oluşturmaktadır.  Politika’nın amacı doğrultusunda, Şirketimiz tarafından gerçekleştirilen kişisel verilerin saklanması, korunması ve imhası faaliyetlerinde mevzuata tam uyumun sağlanması ile kişisel veri sahiplerinin özel hayat gizliliği ve veri güvenliği hakkının korunmasını hedeflemekteyiz. 

POLİTİKA’NIN KAPSAMI 

İşbu Politika; Çalışanlarımızın, Çalışan Adaylarımızın, Şirket Hissedarlarının, Şirket Yetkililerinin, Ziyaretçilerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanlarının, Hissedarlarının, Yetkililerinin ve Üçüncü Kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Bu doğrultuda yukarıda sayılan kişisel veri sahiplerine Politika hükümlerinin tamamı uygulanabileceği gibi yalnızca bir kısım hükümleri de uygulanabilecektir.

TANIMLAR VE KISALTMALAR

İşbu Politika içerisinde yer alan tanımlara ek olarak aşağıda yer alan tanım ve kısaltmalar, yanlarında denk gelen açıklamayı ifade etmektedir.

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. 

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. 

Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. 

Çalışan

Şirket personeli. 

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. 

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. 

Hizmet Sağlayıcı

Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. 

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. 

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. 

VERBİS

Veri Sorumluları Sicil Bilgi Sistemi 

Yönetmelik

28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. 

İlgili Kişi

Kişisel verisi işlenen gerçek kişi. 

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. 

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. 

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu. 

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. 

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. 

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

Kurul

Kişisel Verileri Koruma Kurulu 

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. 

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. 

Politika

Kişisel Verileri Saklama ve İmha Politikası 

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. 

Çalışan Adayı

Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişilerdir.

Grup Şirket Çalışanı

Yeniköy Kemerköy Elektrik Üretim ve Ticaret A.Ş. Grup Şirketleri üzerinden kişisel verileri elde edilen kişilerdir.

Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı

Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek kişiler ile Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerde (iş ortağı, tedarikçi gibi) çalışan, hissedarları ve yetkilileri dâhil olmak üzere, tüm gerçek kişilerdir.

Şirket Çalışanı

Yeniköy Kemerköy Elektrik Üretim ve Ticaret A.Ş. ve bağlı şirketler bünyesinde çalışan gerçek kişilerdir.

Şirket Hissedarı

Yeniköy Kemerköy Elektrik Üretim ve Ticaret A.Ş. ve bağlı şirketlerin hissedarı olan kişilerdir.

Şirket Yetkilisi

Yeniköy Kemerköy Elektrik Üretim ve Ticaret A.Ş. ve bağlı şirketlerin yönetim kurulu üyesi ve diğer yetkili kişilerdir.

Üçüncü Kişi

Şirket Çalışanları için hazırlanan Yeniköy Kemerköy Elektrik Üretim ve Ticaret A.Ş. Politikası kapsamına girmeyen ve bu Politika’da herhangi bir ilgili kişi kategorisine girmeyen diğer kişilerdir.

Ziyaretçi

Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.

 

POLİTİKA ESASLARI

POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI 

İşbu Politika, yürürlükte bulunan mevzuat ile ortaya konulan kuralların Şirketimizin uygulamaları kapsamında somutlaştırılıp düzenlenmesiyle oluşturulmuştur. Bu kapsamda kişisel verilerin saklanması ve imhası konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Şirket olarak Kanun’da öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıkları yürütmekteyiz.

POLİTİKA’NIN YÜRÜRLÜĞÜ

Şirketimiz tarafından düzenlenen Politika yayım tarihinde yürürlüğe girmiştir.

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLER

Şirketimiz tarafından kişisel veriler, Yeniköy Kemerköy Elektrik Üretim ve Ticaret A.Ş. Kişisel Verilerin İşlenmesi Ve Korunması Politikası’nda yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde kanunlardan doğan sorumlulukları eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirketimiz veya Şirketimiz tarafından görevlendirilen veri işleyenler tarafından işlenir.

​Saklamaya İlişkin Esaslar

Kanun’un 10. maddesi gereği Şirketimiz, ilgili kişilere kişisel verilerinin hangi amaçlarla işlendiği bilgisini vermektedir. Şirkette, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler,

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 5434 sayılı Emekli Sandığı Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu,
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • 23.12.2014 Tarihli ‘Varlık Satışı ve İşletme Hakkı Devir Sözleşmesi’ 8.16 maddesi uyarınca Devlet Arşiv Hizmetleri Hakkında Yönetmelik,
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  • Hizmetlerimizi sunabilmek ve bu hizmetlerin kalitesini artırabilmek, 
  • Kamu otoritelerince öngörülen ve/veya istisna olarak sayılan faaliyetleri yerine getirebilmek, 
  • Şirketin/Grup Şirketlerin ticari faaliyetlerini yerine getirebilmek, 
  • Bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak, 
  • İnsan kaynakları politikalarımızın en iyi şekilde planlanması ve uygulanmasını sağlamak,
  • Ticari ortaklıklarımızın ve stratejilerimizin doğru olarak planlanması ve yürütülmesini sağlamak, 
  • Şirketimizin ve iş ortaklarımızın hukuki, ticari ve fiziki güvenliğinin teminini sağlamak,
  • Şirketimiz kurumsal işleyişini sağlanmak 
  • Şirket yerleşkelerini ziyaretlerde ilgili güvenlik ve meşru menfaatleri korumak,
  • Şirketimizin ürün ve hizmetlerini sunmak, 
  • Ürün ve hizmete ilişkin iletişim kurmak, 
  • Ürün/hizmet teklifi, modelleme, raporlama, skorlama, risk izleme gibi Şirketimizin faaliyet konuları ile ilgili hizmetleri sunabilmek ve bu hizmetlerin kalitesini artırabilmek ve diğer faaliyetlerini yerine getirebilmek, 
  • Bilgilendirme yükümlülüklerine uymak, 
  • Şirketimiz internet sitesinde sunulan hizmetleri geliştirmek, 
  • Şirketimize talep ve şikâyetlerini iletenler ile iletişime geçmek,
  • Şirketimiz internet sitesinde oluşan hataların gidermek,
  • İnsan kaynakları süreçlerini yürütmek.
  • Kurumsal iletişimi sağlamak.
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek. 
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak. 
  • Şirketimiz ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak. 
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü. 

İmhaya İlişkin Esaslar

  • Saklamaya ilişkin açıklamalar imha için de geçerli olmakla birlikte kişisel veriler; 
  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, 
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, 
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi, 
  • Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, 
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

KİŞİSEL VERİLERİN SAKLANMASI VE İMHA SÜRECİNDE YER ALAN BİRİMLAR, UNVANLARI VE GÖREV TANIMLARI

Şirketimizin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına aşağıda yer alan tabloda (Tablo 1) yer verilmiştir.

Tablo 1: Saklama ve imha süreçleri görev dağılımı

Unvan ve Birimler

Görev Tanımları

Şirket Yönetim Kurulu
  • Çalışanların politikaya uygun hareket etmesi ve Kanun’a uyum kapsamında gerekli kararların alınması ve uygulaması aşamalarında görev almaktadır.

Hukuk Baş Müşavirliği
  • Poitika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanmasının sağlanması ve güncellenmesinden, Politika kapsamında Şirket iş ve işleyişinin gerektirdiği hukuki alt yapıyı temin etmekten sorumludur.

Bilişim Teknolojileri Müdürlüğü
  • Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

Mali İşler Direktörlüğü, Yönetim Sistemleri Direktörlüğü, Personel ve İdari İşler Direktörlüğü, Linyit İşletme Direktörlüğü, İnsan Kaynakları Müdürlüğü
  • Görevlerine uygun olarak Politika’nın yürütülmesinden sorumludur.

KİŞİSEL VERİ KAYIT ORTAMLARII

Kişisel veriler, Şirketimiz tarafından aşağıda yer alan tabloda (Tablo 2) listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Tablo 2: Veri Kayıt Ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar
  • Sunucular (yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
  • Yazılımlar (ofis yazılımları, portal vb.)
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
  • Kişisel bilgisayarlar (Masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Optik diskler (CD, DVD vb.)
  • Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi
  • Kağıt
  • Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri, aday formları)
  • Yazılı, basılı, görsel ortamlar

 

TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Şirketimiz tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde aşağıda belirtilen tedbir ve önlemler alınmaktadır.

Güvenlik 

Şirketimiz Kanun’a uygun olarak; kişisel verilere hukuka aykırı biçimde erişilmesini ve işlenmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. 

Denetim 

Şirketimiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Bu kapsamda hem Şirket içerisinde bir ekip oluşturulmuş olup hem de dışarıdan destek alınmaktadır.

Gizlilik 

Şirketimiz, ilgili veri sorumluları ve veri işleyenlerin, sahip oldukları kişisel verileri Kanun ve Politika hükümlerine aykırı olarak başkasına açıklamamaları ve işleme amacı dışında kullanmamaları için teknolojik imkân ve uygulama maliyetlerine göre gerekli tüm teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket çalışanlarımız ile Kanun ve Politika hakkında bilgilendirilme ve eğitim çalışmaları yapılmaktadır. 

Kişisel Verilere Yetkisiz Erişim

Şirketimiz tarafından işlenen kişisel verilerin Kanun’a uygun olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirilmesi için gerekli işlemleri yürütür. Kurul tarafından gerekli görülmesi halinde bu durum Kurul’un internet sitesinde ya da Kurul tarafından uygun görülecek başka bir yöntemle ilan edilebilir. 

İlgili Kişilerin Yasal Haklarının Gözetilmesi 

Şirketimiz, ilgili kişilerin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. 

Özel Nitelikli Kişisel Verilerin Korunması 

Kanun’un 6. maddesine göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına veya mağduriyete neden olma riski taşıyan veriler olup diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Bu nedenle Şirketimiz tarafından hukuka uygun olarak işlenen bu tür kişisel verilerin korunması için gerekli tüm tedbirler hassasiyetle alınır. 

Bu çerçevede alınan teknik tedbirler aşağıdaki gibidir:

  • Sızma (Penetrasyon) testleri ile Şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
  • Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
  • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
  • Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (ISO27001 standartlarında sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

Şirketimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

  • Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması hakkında eğitimler verilmektedir.
  • Şirketimiz tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
  • Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin düzenlemeleri mevcut disiplin prosedürüne eklenmiştir.
  • Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
  • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

28.10.2017 tarihli Resmi Gazete’de Yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (“Yönetmelik”) ‘İlkeler’ başlıklı 7. Maddesi uyarınca kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili yapılan bütün işlemler Şirketimiz tarafından kayıt altına alınır ve söz konusu kayıtlar diğer hukuki yükümlülüklerimiz saklı kalmak kaydıyla en az 3 yıl boyunca saklanır. 

Kişisel verilerin silinmesi ile bu veriler ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Buna göre veri sorumlusu olarak Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır. Kişisel veriler aşağıda yer alan tabloda belirtilen yöntemlerle silinir.

Veri Kayıt Ortamı

Açıklama

Sunucularda Yer Alan Kişisel Veriler 

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. 

Elektronik Ortamda Yer Alan Kişisel Veriler 

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. 

Fiziksel Ortamda Yer Alan Kişisel Veriler 

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. 

Taşınabilir Medyada Bulunan Kişisel Veriler 

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. 

Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir. Bu kapsamda aşağıda yer alan tabloda belirtildiği şekilde yok etme işlemleri gerçekleştirilmektedir.

Veri Kayıt Ortamı

Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler 

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makineleriyle veya yakılarak veya tamamen yırtılarak geri döndürülemeyecek şekilde yok edilir. 

Optik / Manyetik Medyada Yer Alan Kişisel Veriler 

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. 

Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri 

Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri silebilir veya yok edebilir. 

Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır: 

Fiziksel Olarak Yok Etme (Physical Destruction): 

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak silinmesi/yok edilmesi sistemi uygulanmaktadır. 

Yazılımdan Güvenli Olarak Silme (Secure Deletion Software):

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler ile dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcıların erişim haklarının kaldırılması yöntemleri kullanılır.

Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)

Şirketimiz bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

Kişisel Verileri Anonim Hale Getirme Teknikleri 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirketimiz veri sorumlusu sıfatıyla, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket olarak hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmekteyiz. Kanun’unun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamının dışında olup, ilgili kişinin açık rızası aranmayacaktır. Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır:

Maskeleme (Masking): 

Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin banka hesap numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 **** **** 0006) 

Toplulaştırma (Aggregation)/Kümülatif Data Yaratma: 

Verilerin kümülatif hale getirilerek toplam değerlerinin yansıtılmasını ifade eder. Örneğin, şirkette kadın çalışan sayısının Z adet olması ve sayının %80’inin üniversite mezunu, %10’unun yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiştir. 

Veri Türetme (Data Derivation):

Mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır. 

Veri Karma (Data Shuffling, Permutation): 

Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Örneğin, ses kayıtlarının niteliği değiştirilerek seslerle ilgili kişinin ilişkilendirilemeyecek hale getirilmesi.

KİŞİSEL VERİLERİ SAKLAMA VE İMHA VE PERİYODİK İMHA SÜRELERİ

Şirketimiz, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin kanunlarda ve sair mevzuatta bir süre düzenlemesi bulunmuyorsa, kişisel veriler Şirketimizin o kişisel veriyi işlediği zaman yürütülen faaliyet kapsamında kişisel veriyi işleme amacının gerçekleşmesine kadar süre boyunca işlenmekte, imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha tarihi ve işleminde silinmekte, yok edilmekte veya anonim hale getirilmektedir. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Şirketimizce yetkilendirilen kişiler tarafından veya kurulan yazılımsal altyapı ile kendiliğinden yerine getirilir.

Şirketimiz, işleme amacı sona ermiş kişisel verileri imha etmek amacıyla 15-30 Ocak ve 15-30 Haziran tarihlerini periyodik imha tarihleri olarak belirlemiştir. Bu tarihlerde, işlenmesini gerektiren sebepleri ortadan kalkan kişisel veriler otomatik, yarı otomatik veya manuel olarak imha edilecektir.

Veri kategorisi bazında kişisel verileri saklama ve imha süreleri aşağıdaki gibidir:

Süreç

Saklama Süresi

İmha Süresi

Kimlik

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İletişim

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Lokasyon

1 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Özlük

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Hukuki İşlem

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Fiziksel Mekan Güvenliği

2 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İşlem Güvenliği

2 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Risk Yönetimi

10 Yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Mesleki Deneyim

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Görsel ve İşitsel Kayıtlar

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Sendika Üyeliği

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Sağlık Bilgileri

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Ceza Mahkumiyeti ve Güvenlik Tedbirleri

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Biyometrik Veri

İş akdi boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Felsefi İnanç, Din, Mezhep ve Diğer İnançlar, Irk ve Etnik Köken

İş akdi boyunca ve sonlandıktan sonra 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde