STORAGE AND DESTRUCTION
STORAGE AND DESTRUCTION POLICY
Purpose of this Personal Data Retention and Disposal Policy (“Policy”); It is the determination of the processing times of the personal data processed by ZEYNEP PELİN İŞLAK SACRE TASARIM (“SACRE” or the “Company”) and the criteria and methods for the deletion, destruction or anonymization of the personal data whose processing time and / or purpose of processing are eliminated.
ARTICLE 1 – PURPOSE AND SCOPE
In parallel with the Clarification Texts published by our company and the regulations in Article 6 of the Regulation on the Deletion, Destruction or Anonymization of Personal Data (“Regulation”); in line with the principles of compliance with the law, honesty and transparency; The reasons for the storage and destruction of your personal data, the determination of the maximum time required for the purpose for which your personal data is processed, the recording environments where your personal data is kept, the measures taken for the protection and destruction of your personal data, the persons and units involved in the storage and destruction of your personal data, personal data storage and is to determine the procedures and principles regarding the deletion, destruction or anonymization of your personal data, which is fully or partially automated or processed by non-automatic means provided that it is a part of any data recording system, by explaining the destruction periods and processes.
This Policy; In accordance with Article 7 of the Law on the Protection of Personal Data No. 6698 (“Act”), SACRE, as a “data controller”, operates fully or partially automatically or by non-automatic means provided that it is a part of any data recording system, electronically and/ It includes the processes of deletion, destruction or anonymization of all personal data in paper or paper media for which there is no legal and/or legitimate interest in processing and storage.
ARTICLE 2 – DEFINITIONS
2.1. Act: Law on Protection of Personal Data No. 6698.
2.2. Personal Data: Any information relating to an identified or identifiable real person.
2.3. Special Categories of Personal Data: Data on sensitive personal data, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, costume and clothing, membership in associations, foundations or unions, health, sexual life, criminal convictions and security measures, and biometric and genetic data.
2.4. Personal Data Processing Inventory: Personal data processing activities carried out by data controllers depending on their business processes; The inventory, which is created by associating the personal data with the purposes of processing, the data category, the transferred recipient group and the data subject group, by explaining the maximum period required for the purposes for which the personal data is processed, the personal data to be transferred to foreign countries and the measures taken regarding data security.
2.5. Related Person: The real person whose personal data is processed.
2.6. Related User: Except for the person or unit responsible for technical storage, protection and backup of the data, they are the persons who process personal data within the organization of the data controller or in line with the authorization and instruction received from the data controller.
2.7. Data Recording System: The recording system in which personal data is processed and structured according to certain criteria.
2.8. Recording Medium: It is any environment where personal data is fully or partially automated or processed by non-automatic means, provided that it is a part of any data recording system, and which is comprehensively explained in Article 3.
2.9. Electronic Recording Medium: A recording medium where personal data can be processed, stored, read and changed by electronic devices.
2.10. Non-Electronic Recording Medium: The recording medium in which the data is physically stored and processed, except for electronic media.
2.11. Data Processor: The real or legal person who processes personal data on behalf of the data controller based on the authority given by the data controller.
2.12. Data Controller: The real or legal person who determines the purposes and means of processing personal data and is responsible for the establishment and management of the data recording system.
2.13. Customer: It refers to the persons who purchase and/or benefit from all kinds of services available within the scope of the company's activities.
2.14. Intermediary Service Provider: Intermediary persons, institutions or websites that enable the services to be provided not directly on the company or company's website, but through the platforms that the Company has an agreement with.
2.15. Destruction: It is the process of deleting, destroying or anonymizing your personal data.
2.16. Periodic Destruction: It is the deletion, destruction or anonymization process that will be carried out ex officio at repetitive intervals and specified in the personal data storage and destruction policy, in the event that all of the personal data processing conditions in the Personal Data Protection Law are eliminated.
2.17. Anonymızatıon Of Personal Data: Even if personal data is matched with other data, it cannot be associated with an identified or identifiable natural person under any circumstances.
2.18. Deletion Of Personal Data: It is the process of making personal data inaccessible and unusable for the relevant users in any way.
2.19. Destruction Of Personal Data: It is the process of making personal data inaccessible, irretrievable and reusable by anyone in any way.
2.20. Website: Refers to https://sacreonline.com/ and other redirected domains.
2.21. Policy: Personal Data Storage and Destruction Policy.
2.22. Committee: From the implementation of this Policy, internal auditing of personal data processing activities, informing and advising on data protection obligations, monitoring the compliance of personnel with this Policy and Procedures in data processing activities, compliance of data processing processes and data processing processes with the Law and the Policy to the Management. Refers to the committee consisting of the personnel or personnel responsible for reporting at the point of contact.
2.23. Employee: It refers to the real persons working in our company.
2.24. Personnel Candidates: It refers to real persons who apply for a job by sending CV, sending e-mails, calling phones and other methods to our company.
2.25. Visitors: It refers to real persons who visit our company's website, referrer intermediary websites and physical environments such as stores and company headquarters.
2.26. Business/Solution Partner, Supplier: Third person and persons from whom our company receives external services in order to carry out its activities and to provide service to you.
2.27. Express Consent: Consent on a particular subject, based on information and expressed with free will.
2.28. Group Of Recipients: The category of real or legal person to whom personal data is transferred by the data controller.
2.29. Processing of Personal Data: Obtaining, recording, storing, storing, changing, rearranging, disclosing, transferring, taking over, making available, classifying personal data by fully or partially automatic or non-automatic means provided that it is a part of any data recording system. or any kind of operation performed on the data, such as preventing its use.
2.30. Data Controllers Registry Information System: An information system created and managed by the Presidency, accessible over the internet, to be used by data controllers in their application to the Registry and other related transactions.
2.31. VERBIS: Data Controllers Registry Information System.
2.32. Board: Refers to the Personal Data Protection Board.
2.33. Guideline: Refers to the “Guide for the Deletion, Destruction or Anonymization of Personal Data” published by the Board at www.kvkk.gov.tr.
2.34. Regulation: Refers to the Regulation on the Deletion, Destruction or Anonymization of Personal Data published in the Official Gazette dated 28 October 2017.
ARTICLE 3 – RECORDING MEDIA WHERE YOUR PERSONAL DATA IS STORED
3.1. Your personal data, which is fully or partially automated or processed by non-automatic means, provided that it is a part of any data recording system, according to the purpose of collection and processing;
3.1.1. Electronic Recording Media; Cloud systems, central server, hard disk, portable media, databases, information security devices, computers, mobile devices, optical disks, office portal and software, digital media and materials such as printers, scanners, photocopiers.
3.1.2. Non-Electronic Recording Media; Written and printed visual media such as paper, personnel file, invoice, receipt, waybill, manual document recording systems.
ARTICLE 4 – REASONS REQUESTING THE STORAGE AND DISPOSAL OF YOUR PERSONAL DATA
4.1. We keep your personal data for the period required by the purpose of processing the personal data specified in the Clarification Texts announced by our Company, without prejudice to the minimum and maximum storage periods stipulated by the laws, and by complying with the data processing conditions specified in the 5th and 6th articles of the Law. The maximum storage periods stipulated by our company are explained in Article 7.
4.2. Accordingly, your personal data, in accordance with the Clarification Texts; As a rule, it can be processed by our Company without your explicit consent, and in exceptional cases stipulated in the law.
4.3. In cases clearly foreseen in the law, in cases where there is an actual impossibility to obtain the consent of the data subject, or if the consent is not legally valid, data processing is necessary for the life and physical integrity of the data subject or someone else; If data processing is necessary for the establishment and performance of contracts made directly or indirectly with the data subject, in cases where data processing is necessary for the fulfillment of legal and legal obligations of our Company, which is the data controller; If the data is to be processed to make the personal data of the person concerned public or to establish or protect a right, and finally, your personal data may be processed in accordance with the legitimate interests of the Company without affecting the fundamental rights and freedoms of the person concerned.
4.4. The main reasons for keeping your personal data in accordance with the article;
4.4.1. Fulfillment of the data processing conditions (legal reasons) specified in Article 5 of the Law (executing the contract, establishing the right, obligatory data processing in accordance with the legitimate interests of our Company, fulfilling the legal obligation, etc.)
4.4.2. Execution of personnel procurement and recruitment processes of our company, personnel productivity evaluation, personnel productivity improvement and personnel training planning and execution,
4.4.3. Execution of financial transactions such as financial reporting, risk planning, risk management, financial planning,
4.4.4. Organizing product or service satisfaction surveys,
4.4.5. Production, development and delivery of goods or services; expanding the range of goods and services, reporting feedback,
4.4.6. Managing, reporting and finalizing customer requests and complaints,
4.4.7. Execution, planning and reporting of corporate communication,
4.4.8. Creating, tracking and reporting visitor/customer records,
4.4.9. Managing and reporting the legal processes of our company, tracking receivables and debts and responding to other legal information requests from official authorities,
4.4.10. Responding to legitimate and legal requests of public institutions and organizations and private institutions and organizations authorized to request information, presenting information and documents,
4.4.11. Making periodic (weekly, monthly, annual, etc.) activities and budget plans of our company,
4.4.12. Carrying out advertising, promotion and marketing activities of our company, increasing service quality, making promotions, organizing campaigns, taking orders, managing order processes, making order feedbacks, organizing satisfaction surveys,
4.4.13. Our company's central building - its surroundings and / or our company's store, warehouse, etc. Ensuring the physical security of workplaces and other places,
4.4.14. Fulfilling additional product or service requests from our customers, offering additional products or services to our customers, classifying, reporting and increasing customer tastes.
4.4.15. In each business process by our company, 6698 p. To fulfill the purposes specified within the scope of the lighting notifications to be made in accordance with Article 10 of the Law.
4.5. Reasons requesting destruction;
4.5.1. 4.3 of this Policy the expiration of the situations stipulated in the article; In particular, the amendment or repeal of the provisions of the relevant legislation, which is the basis for the processing of personal data, or the disappearance of the purpose that requires the processing or storage of personal data,
4.5.2. In cases where the processing of personal data takes place only on the basis of express consent, the data subject withdraws his explicit consent,
4.5.3. In accordance with Article 11 of the Law, the application made by the Company for the deletion and destruction of personal data within the framework of the rights of the person concerned is accepted by the Company or by the Institution in case of a negative response,
4.5.4. The maximum period requiring the storage of personal data has passed and there is no condition to justify keeping personal data for a longer period of time,
In the event that you apply to our Company, your personal data processed by us will be deleted, destroyed or anonymized within 30 days at the latest or during the periodic destruction dates adopted by our Company, even if you do not make any application to our Company.
ARTICLE 5 – PARTIES IN THE PROCESSES OF THE STORAGE AND DISPOSAL OF YOUR PERSONAL DATA
5.1. Depending on the nature of your personal data and the recording media specified in Article 3, your personal data is stored by the departments in our Company in electronic and/or non-electronic recording media, according to the category.
5.1.1. Your personal data processed within the scope of all kinds of purchases and other uses of the website and calls to our company's call center are stored in the digital environment, and our Company's Manager and other employees he may assign take part in the storage and destruction processes of your personal data. The manager is responsible for the execution, management and organization of our company's websites and all activities carried out therein in accordance with the law and company policy.
5.1.2. Your personal data, which is physically processed within the scope of product purchases or visits from our workplace or branches, is stored in digital and physical environment, and our Company's Manager and other employees he may assign take part in the storage and destruction processes of your personal data. The manager is responsible for the execution, management and organization of the sales activities of our company, especially all workplaces, in accordance with the law and company policy. The manager is responsible for the execution, management, supervision and organization of all administrative works and structures within the company.
5.1.3. Your personal data processed within the scope of personal files and other transactions created in accordance with the Labor Law, Occupational Health and Safety Law and other relevant legislation of our employees are stored in digital and physical environment, and other employees that our Company may assign with the Manager take part in the storage and destruction processes of your personal data. The manager is responsible for the execution, management, supervision and organization of all employment and employee employment processes of our company, including the preliminary interview for recruitment and personnel recruitment, and the rights and obligations of its employees in accordance with the law and company policy.
5.1.4. Personal data of financial nature such as salary accounts, payroll, invoices, refund bank account information of employees, customers and other relevant persons are stored in digital and physical environment, and the Manager of our Company and other employees that may be assigned take part in the storage and destruction processes of your personal data. The manager is responsible for the execution, management and organization of all accounting and financial transactions of the company in accordance with the law and company policy.
5.1.5. Your personal data processed within the scope of the contract or activities, especially the contact information of the persons or institutions from which we purchase services or goods, solution partners and other real or legal persons with whom we work within the scope of business development, are stored in digital and physical environment, and in the storage and destruction processes of your personal data, other real or legal persons that our Company may assign. our employees are involved. The manager is responsible for the supply of all kinds of goods and services necessary for the company to continue its activities and the execution, management and organization of these transactions in accordance with the law and company policy.
ARTICLE 6 – MEASURES TAKEN TO PROTECT YOUR PERSONAL DATA
6.1. Our company is committed to keeping your personal data safe, to prevent illegal access to your personal data and to act in accordance with the law and the rule of honesty when processing your personal data, to ensure that your personal data is accurate and up-to-date when necessary, to process your personal data for specific, clear and legitimate purposes. It has taken the following technical, legal and administrative measures in order to prevent the unlawful processing of your personal data and to destroy your personal data in accordance with the law by processing your personal data in connection with the purpose for which they are processed, in a limited and proportionate manner, and by preserving your personal data for the period stipulated in the relevant legislation or for the purpose for which they are processed:
6.1.1.
|
SPECIAL TECHNICAL MEASURES |
PURPOSE AND EXPLANATION OF SPECIAL TECHNICAL MEASURES |
|
Intrusion Detection and Prevention Systems |
Prevention systems have been established for all kinds of cyber attacks against the Company database and the software used from outside, and if there is an attack, necessary technical measures have been taken to detect the attack immediately. |
|
Keeping Log Records |
For each data in the system, log records of both employees, customers and Web Site visitors are kept. |
|
Network and Application Security |
It is aimed to ensure the security of the server networks that our company uses (and may use in the future). |
|
Data Loss Prevention Software |
In order to prevent data loss, our company uses a technically sound data backup system and software that allows data recovery. |
|
Current Antivirus and Antispam Systems |
Attacks that may come from outside in our company, etc. The most up-to-date and reliable antivirus and antispam systems are used in order to be prepared for situations and to ensure system and data security. |
|
Security Precautions |
Security camera system, anti-theft alarm system, controlled entry-exit and lock systems have been installed to prevent personal data kept in the physical environment from being stolen or seen by an unauthorized person. |
6.1.2. The necessary technical infrastructure has been established for the safe storage of your personal data, the prevention of illegal access to your personal data and the illegal processing of your personal data, and the legal destruction of your personal data, and the necessary technical and administrative control mechanisms have been established for the healthy functioning of the technical infrastructure.
6.1.3. Support has been provided from technical experts in order to securely store your personal data, to prevent unlawful access to your personal data and to prevent illegal processing of your personal data, and to destroy your personal data in accordance with the law.
6.1.4. In order to ensure business and safety continuity and to overcome emergencies, emergency planning was carried out by forming a risk management team.
6.1.5. Our employees, business partners and other third parties with whom we have a business relationship were informed about legal, technical and administrative risks, and general and event-based technical, administrative and legal awareness trainings were given to our employees regarding the processing, storage, destruction and data security of personal data. Trainings are repeated at certain intervals when necessary. The authorizations of the users who have access to the data are defined. Users who have access to data, their scope and duration of authorization are clearly defined. Periodic authorization checks are carried out, the authorization of employees who have a change of job or quit their job in this field are immediately revoked, and the process of returning the inventory allocated to them by the data controller is carried out.
6.1.6. Commitments have been taken from the third parties to whom your personal data is transferred, that they take and/or will take the necessary security measures in order to keep your personal data safe, to prevent illegal access to your personal data, to prevent the illegal processing of your personal data, and to ensure that your personal data can be destroyed in accordance with the law.
6.1.7. In order to prevent unlawful access to your personal data and to prevent unlawful processing of your personal data, internal data access authorizations have been made and access authorities are periodically audited by our managers.
6.1.8. Technical and administrative infrastructure has been established in order to record all transactions regarding the destruction of your personal data and to keep such records for a minimum of 2 years.
6.1.9. In order for your personal data to be destroyed in accordance with the law, our employees have been provided with legal, administrative and technical training on the methods of deletion, destruction and anonymization of personal data in digital and physical recording media, and periodic destruction periods and processes.
6.1.10. Necessary technical and administrative measures have been taken to ensure that your deleted personal data is inaccessible and reusable for the relevant users. In this context, it has been made impossible for the relevant user to access and/or use your personal data, which has been deleted through the data deletion methods used by our Company.
6.1.11. We periodically update the legal, administrative and technical measures we have taken regarding the safe storage of your personal data, the prevention of illegal access to your personal data and the unlawful processing of your personal data, and the legal destruction of your personal data.
6.1.12. A Data Processing Inventory has been created in order to ensure the sound execution of this Policy and to control the adequacy of the measures taken.
6.1.13. In addition to the technical and administrative measures listed above, a separate data security policy has been determined for sensitive personal data.
6.1.14. Secure encryption/cryptographic keys are used for sensitive personal data and are managed by different units. The transaction records of all movements performed on the data are securely logged, and the security updates of the environments where the data is located are constantly monitored. User authorizations have been made for the software that accesses special quality personal data, security tests of these software are carried out regularly and the test results are recorded. In case of remote access to the data, it is ensured that at least two-stage authentication system is passed.
6.1.15. Awareness and data security trainings on special quality personal data security have been given to employees involved in special quality personal data processing, confidentiality agreements have been made, commitments have been made, and the authorizations of users who have access to data have been defined. Users who have access to data, their scope and duration of authorization are clearly defined. Periodic authorization checks are carried out, the authorization of employees who have a change of job or quit their job in this field are immediately revoked, and the process of returning the inventory allocated to them by the data controller is carried out.
6.1.16. Adequate security measures are taken for the physical environments where sensitive personal data is processed, stored and/or accessed, and unauthorized entry and exit is prevented by ensuring physical security. for this purpose, if this data is transferred via e-mail, it is transferred in encrypted form with a corporate e-mail address; Data is transferred between servers by establishing a VPN or using the SFTP method; portable memory etc. In case of data transfer via media, a cryptographic key is created. Again, in case these data are printed / printed, in case of a possible data transfer, the said documents are sent in "CONFIDENTIAL" format.
ARTICLE 7 – DURATION
7.1. Your personal data, without prejudice to the minimum storage periods stipulated in the laws; Even if the 'purpose of processing your personal data' announced within the scope of the ‘’Clarification Text on the Processing of Your Personal Data’’ is completely eliminated or all of the data processing conditions in Articles 5 and 6 of the Law are eliminated, or even if none of these are present, the technical process of processing your personal data for our Company In the event that your personal data becomes administratively or financially impossible, your personal data will be deleted, destroyed or anonymized by our Company, ex officio or upon your request, in the first periodical destruction process following the occurrence of this situation.
7.2. The destruction periods adopted by our company are twice a year, at the end of the 4th month and at the end of the 10th month of each year.
7.3. When you request the deletion, destruction or anonymization of your personal data by applying to our Company in writing or by other methods to be determined by the Board, pursuant to Article 13 of the Law, the following procedures and principles will apply:
7.3.1. If all the conditions for processing personal data have disappeared; Your personal data subject to your request will be deleted and destroyed.
7.3.2. If all the conditions for processing personal data have been removed and your personal data subject to the request has been transferred to third parties, our Company will notify the third party; ensures that the necessary actions are taken within the scope of this Regulation before the third party.
7.3.3. If all the conditions for processing personal data have not disappeared, your request may be rejected by our Company by explaining the reason in accordance with the third paragraph of Article 13 of the Law. In this case, the refusal will be notified to you in writing or electronically within thirty days at the latest.
7.3.4. Depending on the nature of your request, your request result will be concluded free of charge. However, if the transaction requires an additional cost, the fee in the tariff determined by the Board may be charged.
7.4. Reserving the maximum and minimum storage periods stipulated in the laws regarding your personal data, the storage periods, destruction and periodic destruction periods according to the data categories are given in the table below:
|
Personal Data Category |
Retention Period of Your Personal Data |
Destruction Period of Your Personal Data |
|
Personal Data Obtained from Customers Purchasing Goods and Services in Stores or on the Internet |
10 years from the end of the legal relationship |
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have disappeared. |
|
Personal Data Regarding Business Solution Partner/ Suppliers |
10 years from the end of the legal relationship |
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have disappeared. |
|
Personal Data Regarding Employee Candidates During Job Application |
2 years
|
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have disappeared. |
|
Personal Data of Personnel (Identity, Contact, Personal Information, Legal Transaction Data, Professional Experience, Visual and Audio Records, Physical Space Security) |
10 years from the end of the legal relationship |
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have disappeared. |
|
Health Data of Personnel Received within the Scope of Criminal Conviction and Occupational Health and Safety Legislation |
Health Data 15 years, Criminal Conviction 10 years from the end of the legal relationship |
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have disappeared. |
|
Personal Data Regarding Visitors (Camera Records, log records) |
Log records 2 years |
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have disappeared. |
|
Personal Data Regarding Online Visitors (Cookies etc.)
Online Website Membership Transactions and Personal Data Regarding Members |
2 year
10 years from the end of the legal relationship |
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have disappeared. |
|
All Records Related to Accounting and Financial Transactions |
10 years from the end of the legal relationship |
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have been removed. |
|
Personal Data Regarding Company Partners and Officials and Commercial Books and Records Kept under the TCC |
10 year |
In the first periodical destruction process after the destruction obligation arises, or within 30 days at the latest, upon your application pursuant to Article 13 of the Law, provided that all the conditions for processing personal data have disappeared. |
ARTICLE 8 – METHODS THAT CAN BE USED IN THE DISPOSAL OF YOUR PERSONAL DATA
8.1. Personal data in electronic or paper media whose purpose of processing has completely disappeared is deleted, destroyed or anonymized with the methods stipulated in this Guide, in accordance with the "Guideline for the Deletion, Destruction or Anonymization of Personal Data" published by the Personal Data Protection Authority. All deletion, destruction or anonymization operations carried out by the Technical Unit are logged electronically with a time stamp and recorded. In terms of personal data in paper media, a report is prepared and kept by the Technical Unit. Records of deletion, destruction or anonymization of personal data in electronic and paper media are kept for three years. Zeynep Pelin Islak Sacre Design; uses the "deletion" method to ensure that only the relevant departments have access to personal data during their storage period. If the storage period expires and there is no other purpose that requires the storage of personal data, it uses the anonymization method.
Deletion of Personal Data
Deletion of personal data is the process of making personal data inaccessible and non-reusable for relevant users. As the data controller, all necessary technical and administrative measures are taken to ensure that the deleted personal data cannot be accessed and reused for the relevant users.
Deletion Process of Personal Data
The process to be followed in the deletion of personal data is as follows:
Determining the personal data that will be the subject of the deletion process, identifying the relevant users for each personal data using an access authorization and control matrix or a similar system, determining the authorization and methods of the relevant users such as access, retrieval, reuse, personal data of the relevant users closure and elimination of access, retrieval, reuse authorizations and methods within the scope of.
Methods of Deletion of Personal Data
Application Type Cloud Solutions as a Service (Office 365, Salesforce, Dropbox etc.)
In the cloud system, data is deleted by giving a delete command. While the aforementioned transaction is being performed, the transaction is carried out in such a way that the relevant user does not have the authority to restore the deleted data on the cloud system in any way.
Personal Data in Paper Media
Personal data in paper media are deleted using the blackout method. The blackening process is done by cutting the personal data on the relevant document, where possible, and in cases where it is not possible, by erasing it so that it cannot be recovered and read with technological solutions, or by using fixed ink to make it invisible to the users related to the painting process.
Office Files on the Central Server
It is done by deleting the file with the delete command in the operating system or by removing the access rights of the relevant user on the file or the directory where the file is located.
Personal Data in Portable Media
Personal data in flash-based storage media are stored in secure environments with encryption keys, and deletion is performed using software suitable for these environments.
Databases
It is the deletion of the relevant lines containing personal data with database commands (delete etc.). While performing the aforementioned operation, it should be noted that the relevant user is not also a database administrator.
Destruction of Personal Data
Destruction of personal data is the process of making personal data inaccessible, unrecoverable and unusable by anyone in any way. Zeynep Pelin Işlak Sacre Tasarım is obliged to take all necessary technical and administrative measures regarding the destruction of personal data.
Personal Data Destruction Methods
In order to destroy personal data, all copies of the data are detected and destroyed one by one by using one or more of the methods given below, depending on the type of systems in which the data is located.
Local Systems
One or more of the following methods can be used to destroy the data on the said systems.
De-magnetization: It is the process of corrupting the data on it in an unreadable manner by exposing the magnetic media to a very high magnetic field by passing it through a special device.
Physical Destruction: The physical destruction of optical media and magnetic media, such as melting, incinerating or pulverizing. Data is rendered inaccessible by processes such as melting, incinerating, pulverizing, or passing through a metal grinder to optical or magnetic media. For solid state disks, if the overwriting or demagnetization is not successful, this media is also physically destroyed.
Overwrite: It is the process of preventing the recovery of old data by writing random data consisting of 0s and 1s at least seven times on magnetic media and rewritable optical media. This process is done using special software.
Environmental Systems: Depending on the type of environment, the disposal methods that can be used are as follows:
Network devices (switches, routers, etc.): The storage media in these devices are fixed. Products often have a delete command, but not a destroy feature. For this reason, it is destroyed by using one or more of the appropriate methods specified in (a).
Flash-based environments: Flash-based hard drives with an ATA (SATA, SSD, PATA, etc.), SCSI (SCSI Express, etc.) interface, using the <block erase> command if supported, using the manufacturer's recommended destruction method if not supported, or (a It is destroyed by using one or more of the appropriate methods specified in ).
Magnetic tape: It is the media that stores the data with the help of micro magnet pieces on the flexible tape. It is destroyed by exposing it to very strong magnetic environments and demagnetizing it or by physical destruction methods such as burning and melting.
Mobile phones (SIM card and fixed memory areas): Fixed memory areas in portable smartphones have a delete command, but most do not have a destroy command. For this reason, it is destroyed by using one or more of the appropriate methods specified in (a).
Paper and Microfiche Media: Since the personal data in these media are permanently and physically written on the media, the main media must be destroyed. During this process, the media is divided into small pieces of incomprehensible size, horizontally and vertically if possible, in a way that cannot be reassembled, with paper shredders or clipping machines. Or it is irreversibly destroyed by the incineration method.
Personal data transferred from original paper format to electronic media by scanning is destroyed by using one or more of the appropriate methods specified in (a) according to the electronic environment in which they are located.
Cloud Environment: During the storage and use of personal data in the aforementioned systems, it is required to be encrypted with cryptographic methods and for personal data, where possible, separate encryption keys should be used, especially for each cloud solution serviced. When the cloud computing service relationship ends, all copies of encryption keys required to make personal data available must be destroyed. In addition to the above environments, the destruction of personal data in devices that have malfunctioned or sent for maintenance is carried out as follows;
Before transferring the relevant devices to third parties such as the manufacturer, seller, service for the maintenance and repair process, the personal data contained in it is destroyed by using one or more of the appropriate methods specified in (a),
In cases where it is not possible or appropriate to destroy, the data storage medium is disassembled and stored, other defective parts are sent to third institutions such as the manufacturer, seller, service,
Taking necessary measures to prevent the personnel coming from outside for maintenance and repair purposes from copying personal data and taking them out of the institution.
Anonymization of Personal Data
Anonymization of personal data means that personal data cannot be associated with an identified or identifiable natural person under any circumstances, even if it is matched with other data. The purpose of anonymization is to break the link between the data and the person identified by this data. In order for personal data to be anonymized, it is rendered unrelated to an identified or identifiable natural person, even by using appropriate techniques for the recording medium and the relevant activity, such as returning the personal data by the data controller or recipient groups and/or matching the data with other data.
As the data controller, the Company takes all necessary technical and administrative measures to anonymize personal data. Anonymization of personal data is carried out in accordance with the principles specified in the personal data retention and destruction policy.
ARTICLE 9 – PUBLICATION AND STORAGE OF THE POLICY
The policy is published electronically and announced on the website.
ARTICLE 10 – UPDATE PERIOD OF POLICY
The policy is reviewed as needed and the necessary sections are updated.
ARTICLE 11 – ENTRY INTO FORCE
11.1. This Policy enters into force on the date of its publication.
11.2. In case of changes or updates to the Policy, a new version is published, which will also include information about the relevant change.
11.3. Changes made to this Policy are listed in the table below:
|
DOCUMENT |
HISTORY |
|
Version |
Definition of Change |
|
1.0 |
First Release |
SAKLAMA VE İMHA POLİTİKASI
İşbu Kişisel Verilerin Saklanması ve İmhası Politikasının (“Politika”) amacı; ZEYNEP PELİN IŞLAK SACRE TASARIM (“SACRE” veya “Şirket”) tarafından işlenen kişisel verilerin işlenme sürelerinin belirlenmesi ve işleme süresi ve/veya işleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kriter ve yöntemlerin ortaya konulmasıdır.
MADDE 1 - AMAÇ VE KAPSAM
Şirketimizce yayımlanan Aydınlatma Metinlerine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi hakkındaki Yönetmeliğin (“Yönetmelik”) 6’ncı maddesinde yer alan düzenlemelere paralel olarak; hukuka uygunluk, dürüstlük ve şeffaflık ilkeleri doğrultusunda; kişisel verilerinizin saklanmasını ve imhasını gerektiren sebeplerin, kişisel verilerinizin işlendikleri amaç için gerekli olan azami sürenin belirlenmesinin, kişisel verilerinizin tutulduğu kayıt ortamlarının, kişisel verilerinizin korunması ve imhası için alınan tedbirlerin, kişisel verilerinizin saklanması ve imhası sürecinde rol alan kişi ve birimlerin, kişisel veri saklama ve imha süre ve süreçlerinin açıklanması ile tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
İşbu Politika; 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 7. Maddesi uyarınca “veri sorumlusu” sıfatıyla SACRE’nin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollar ile işlediği, elektronik ortamda ve/veya kağıt ortamında yer alan ve işlenmesi ve saklanmasında hukuki ve/veya meşru bir menfaat kalmayan tüm kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin süreçleri kapsamaktadır.
MADDE 2 – TANIMLAR
2.1. Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
2.2. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
2.3. Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
2.4. Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
2.5. İlgili Kişi: Kişisel verisi işlenen gerçek kişidir.
2.6. İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
2.7. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
2.8. Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ve 3’üncü maddede kapsamlı olarak açıklanan her türlü ortamdır.
2.9. Elektronik kayıt ortamı: Kişisel verilerin elektronik cihazlarla işlenebildiği yani saklandığı, okunduğu, değişikliğe uğradığı kayıt ortamı.
2.10. Elektronik olmayan kayıt ortamı: Verilerin elektronik ortamların haricinde basılı (matbu) fiziksel olarak saklandığı ve işlendiği kayıt ortamı.
2.11. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
2.12. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
2.13. Müşteri: Şirketin faaliyetleri kapsamında mevcut olan her türlü hizmet satın alan ve/veya bu hizmetlerden yararlanan kişileri ifade eder.
2.14. Aracı hizmet sağlayıcı: Hizmetlerin doğrudan şirket veya şirkete ait web sitesi üzerinden değil Şirketin anlaşmalı olduğu platformlardan yapılabilmesini sağlayan aracı kişi, kurum veya web siteleri.
2.15. İmha: Kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemidir.
2.16.Periyodik imha: Kişisel Verilerin Korunması Kanunu’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
2.17. Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
2.18.Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
2.19.Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
2.20.Web site: https://sacreonline.com/ ve yönlendirme yapılmış diğer alan adlı partallarını ifade eder.
2.21. Politika: Kişisel Verileri Saklama ve İmha Politikası.
2.22. Komite: İşbu Politika’nın uygulanmasından, kişisel veri işleme faaliyetlerinin Şirket içi denetiminden, veri koruma yükümlülükleri hususunda bilgilendirme ve tavsiyede bulunmaktan, personellerin veri işleme faaliyetlerinde işbu Politika ve Prosedürlere uygunluğunu izlemekten, Yönetime veri işleme süreçleri ile veri işleme süreçlerinin Kanun’a ve Politika’ya uygunluğu noktasında raporlama yapmaktan sorumlu personel veya personellerden teşekkül komiteyi ifade eder.
2.23. Personel: Şirketimizde çalışan gerçek kişileri ifade eder.
2.24. Personel Adayları: Şirketimize CV göndermek, e-posta atmak, telefonlar aramak ve sair yöntemlerle iş başvurusu yapan gerçek kişileri ifade eder.
2.25. Ziyaretçiler: Şirketimize ait web sitesi, yönlendirici aracı web siteleri ile mağaza, şirket merkezi gibi fiziki ortamları ziyaret eden gerçek kişileri ifade eder.
2.26. İş/Çözüm Ortağı, Tedarikçi: Şirketimizin faaliyetini gerçekleştirmek ve tarafınıza hizmeti sunabilmek amacıyla dış hizmet aldığı üçüncü kişi ve kişiler.
2.27. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
2.28. Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
2.29. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
2.30. Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
2.31. VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
2.32. Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
2.33. Rehber: Kurul tarafından www.kvkk.gov.tr adresinde yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi”ni ifade eder.
2.34. Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade etmektedir.
MADDE 3 - KİŞİSEL VERİLERİNİZİN SAKLANDIĞI KAYIT ORTAMLARI
3.1. Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verileriniz, toplanma ve işlenme amacına göre;
3.1.1. Elektronik Kayıt Ortamı; Bulut sistemleri, merkezi sunucu, hard-disk, taşınabilir medya, veri tabanları, bilgi güvenliği cihazları, bilgisayarlar, Mobil cihazlar, optik diskler, ofis portal ve yazılımları, yazıcı, tarayıcı, fotokopi makinesi gibi dijital ortam ve materyal üzerindeki ortamlar.
3.1.2. Elektronik Olmayan Kayıt Ortamı; Kağıt, özlük dosyası, fatura, fiş, irsaliye, manuel evrak kayıt sistemleri gibi yazılı, basılı görsel ortamlar.
MADDE 4 - KİŞİSEL VERİLERİNİZİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
4.1. Kişisel verilerinizi kanunlarda öngörülen asgari ve azami saklama süreleri saklı kalmak kaydıyla, Şirketimiz’in ilan ettiği Aydınlatma Metinlerinde belirtilen kişisel verilerin işleme amacının gerektirdiği süre boyunca ve Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen veri işleme şartlarına riayet ederek saklamaktayız. Şirketimizce öngörülen azami saklama süreleri 7’nci maddede açıklanmıştır.
4.2. Bu doğrultuda, kişisel verileriniz, Aydınlatma Metinleri uyarınca; kural olarak açık rızanız ile kanunda öngörülen istisnai hallerde ise açık rızanıza başvurulmaksızın Şirketimiz tarafından işlenebilecektir.
4.3. Kanunda öngörülen açıkça öngörülen hallerde, ilgili kişinin rızasının alınması hususunda fiil imkansızlık bulunması ya da rızasının hukuken geçerli olmadığı durumda ilgili kişinin kendisinin veya başkasının hayatı ve beden bütünlüğü için veri işlemenin zaruri olması hallerinde; ilgili kişi ile doğrudan veya dolaylı olarak yapılan sözleşmelerin kurulması ve ifası için veri işlenmesi gerekli ise, veri sorumlusu olan Şirketimizin hukuktan ve kanundan doğan yükümlülüklerini ifa için veri işlemenin zorunlu olduğu durumlarda; ilgili kişinin kişisel verilerini aleni hale getirmesi yahut bir hakkın kurulumu ya da korunması için veri işlenecek ise ve son olarak ilgili kişinin temel hak ve özgürlüklerine dokunulmaksızın Şirket’in meşru menfaatleri uyarınca kişisel verileriniz işlenebilmektedir.
4.4. Politika’nın 4.3. maddesi uyarınca kişisel verilerinizin saklanmasını gerektiren başlıca sebepler;
4.4.1. Kanun’un 5’inci maddesinde belirtilen veri işleme şartlarının (hukuki sebeplerin) yerine getirilmesi (sözleşmenin ifa edilebilmesi, hakkın tesis edilebilmesi, Şirketimizin meşru menfaatleri uyarınca veri işlemenin zorunlu olması, hukuki yükümlülüğün yerine getirilebilmesi vb)
4.4.2. Şirketimizin personel temini ve işe alım süreçlerinin yürütülmesi, personel verimlilik değerlendirmesi, personel verimliliğinin artırılması ve personel eğitimlerinin planlanması ile yürütülmesi,
4.4.3. Finansal raporlama, risk planlaması, risk yönetimi, finansal planlama gibi finansal işlemlerin yürütülmesi,
4.4.4. Mal veya hizmet memnuniyet anketlerinin düzenlenmesi,
4.4.5. Mal veya hizmet üretimi, geliştirilmesi ve sunulması; mal ve hizmet gamının genişletilmesi, geri bildirimlerin raporlanması,
4.4.6. Müşteri talep ve şikayetlerinin yönetilmesi, raporlanması ve sonuçlandırılması,
4.4.7. Kurumsal iletişimin yürütülmesi, planlanması ve raporlanması,
4.4.8. Ziyaretçi/ müşteri kayıtlarının oluşturulması, takibi ve raporlanması,
4.4.9. Şirketimizin hukuki süreçlerinin yönetilmesi, raporlanması, alacak ve borçların takibi ile resmi makamlar nezdinden gelen diğer hukuki bilgi taleplerinin yanıtlanması,
4.4.10. Resmi kurum ve kuruluşlar ile bilgi talep etmeye yetkili özel kurum ve kuruluşların meşru ve hukuka uygun taleplerinin yanıtlanması, bilgi ve belge sunulması,
4.4.11. Şirketimizin dönemlik (haftalık, aylık, yıllık vb) faaliyet ve bütçe planlamalarının yapılması,
4.4.12. Şirketimizin reklam, tanıtım ve pazarlama çalışmalarının yürütülmesi, hizmet kalitesinin artırılması, promosyonlar yapılması, kampanyalar düzenlenmesi, sipariş alınması, sipariş süreçlerinin yönetimi, sipariş geri bildirimlerinin yapılması, memnuniyet anketlerinin düzenlenmesi,
4.4.13. Şirketimizin merkez bina içi – çevresi ve/veya Şirketimize ait mağaza, depo vb. işyerleri ve sair mekanların fiziki güvenliğinin sağlanması,
4.4.14. Müşterilerimizden gelen ek ürün veya hizmet taleplerinin yerine getirilmesi, müşterilerimize ek ürün veya hizmet sunulması, müşteri beğenilerinin tasnifi, raporlanması ve artırılması ile
4.4.15. Şirketimiz tarafından her bir iş sürecinde 6698 s. Kanun’un 10’uncu maddesi uyarınca yapılacak aydınlatma bildirimleri kapsamında belirtilen amaçları yerine getirmektir.
4.5. İmhayı gerektiren sebepler;
4.5.1. İşbu Politika’nın 4.3. maddesinde öngörülen durumların sona ermesi; özellikle kişisel verilerin İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası yahut kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
4.5.2. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
4.5.3. Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket veya olumsuz cevap halinde Kurum’ca kabul edilmesi,
4.5.4.Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Halinde Şirketimize başvurmanız ihtimalinde en geç 30 gün içinde veya Şirketimize herhangi bir başvurunuz bulunmasa dahi Şirketimizce benimsenen periyodik imha tarihlerimizde tarafımızca işlenen kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir.
MADDDE 5 - KİŞİSEL VERİLERİNİZİN SAKLANMASI VE İMHASI SÜREÇLERİNDE ROL ALANLAR
5.1. Kişisel verilerinizin ve 3’üncü maddede belirtilen kayıt ortamlarının niteliğine göre elektronik olan ve/veya elektronik olmayan kayıt ortamlarında kişisel verileriniz kategorisine göre Şirketimizde bulunan departmanlar tarafından saklanmaktadır.
5.1.1. Web sitesi üzerinden her türlü satın alma ve diğer kullanımlarınız ile şirketimize ait çağrı merkezi aramalarınız kapsamında işlenen kişisel verileriniz dijital ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Yöneticisi ve görevlendirebileceği diğer çalışanlarımız görev almaktadır. Yönetici şirketimize ait web siteleri ile buralarda yürütülen tüm faaliyetlerin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve organizasyonundan görevlidir.
5.1.2. Fiziksel olarak işyerimiz veya şubelerimizden ürün satın alma veya ziyaretlerini kapsamında işlenen kişisel verileriniz dijital ve fiziksel ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Yöneticisi ve görevlendirebileceği diğer çalışanlarımız görev almaktadır. Yönetici şirketimizin tüm işyerleri başta olmak üzere satış faaliyetlerinin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve organizasyonundan görevlidir. Yönetici şirket içerisindeki tüm idari iş ve yapıların yürütülmesi, yönetilmesi, denetlenmesi ve organizasyonundan görevlidir.
5.1.3. Çalışanlarımızın İş Kanunu, İş Sağlığı ve Güvenliği Kanunu ve ilgili diğer mevzuat uyarınca oluşturulan özlük dosyaları ve diğer işlemleri kapsamında işlenen kişisel verileriniz dijital ve fiziksel ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Yönetici ile görevlendirebileceği diğer çalışanlarımız görev almaktadır. Yönetici şirketimizin işe alım için ön görüşme ve personel bulma işlemleri dahil Şirketimizin tüm istihdam ve işçi çalıştırma süreçleri ile çalışanlarının hak ve yükümlülüklerinin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi, denetlenmesi ve organizasyonundan görevlidir.
5.1.5. Çalışanların, müşterilerin ve diğer ilgili kişilerin maaş hesabı, bordro, fatura, geri iade banka hesap bilgileri gibi finansal nitelikteki kişisel verileri dijital ve fiziksel ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Yöneticisi ile görevlendirebileceği diğer çalışanlarımız görev almaktadır. Yönetici şirketin tüm muhasebe ve finans işlemlerinin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve organizasyonundan görevlidir.
5.1.6. Hizmet veya mal satın aldığımız kişi veya kurumlar ile çözüm ortakları ve iş geliştirme kapsamında çalıştığımız diğer gerçek veya tüzel kişilerin iletişim bilgileri başta olmak üzere sözleşme veya faaliyetler kapsamında işlenen kişisel verileriniz dijital ve fiziksel ortamda saklanmakta olup kişisel verilerinizin saklama ve imha süreçlerinde Şirketimizin Yöneticisi ile görevlendirebileceği diğer çalışanlarımız görev almaktadır. Yönetici şirketin faaliyetlerine devam edebilmesi için gerekli her türlü mal ve hizmet tedariki ile bu işlemlerin hukuk ve şirket politikasına uygun olarak yürütülmesi, yönetilmesi ve organizasyonundan görevlidir.
- KİŞİSEL VERİLERİNİZİN KORUNMASI İÇİN ALINAN TEDBİRLER
6.1. Şirketimiz, kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesinin ve kişisel verilerinizin işlenirken hukuka ve dürüstlük kuralına uygun hareket etmek, kişisel verilerinizin doğru ve gerektiğinde güncel olmasını temin etmek, kişisel verilerinizi belirli, açık ve meşru amaçlar için işlemek, kişisel verilerinizi işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işlemek ve kişisel verilerinizi ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmek suretiyle kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilmesi amacıyla aşağıdaki teknik, hukuki ve idari tedbirleri almıştır:
6.1.1.
|
ÖZEL TEKNİK TEDBİRLER |
ÖZEL TEKNİK TEDBİRLERİN AMACI VE AÇIKLAMASI |
|
Saldırı Tespit ve Önleme Sistemleri |
Dışarıdan Şirket veri tabanına ve kullanılan yazılımlara yönelik gelebilecek her türlü siber saldırı için önleme sistemleri kurulmuş, bunun yanı sıra herhangi bir saldırı mevcut ise saldırının derhal tespiti için gerekli teknik önlemler alınmıştır. |
|
Log kayıtlarının tutulması |
Sistemdeki her bir veri için gerek çalışanların gerek ise müşteriler ile Web Sitesi ziyaretçilerinin log kaydı tutulmaktadır. |
|
Ağ ve uygulama güvenliği |
Şirketimizin kullanmakta olduğu (ve ileride kullanabileceği) sunucu ağlarının güvenliğinin sağlanması amaçlanmaktadır. |
|
Veri Kaybı Önleme Yazılımları |
Şirketimiz veri kaybını önlemek adına teknik açıdan sağlam bir veri yedekleme sistemi ile veri kurtarma işlemine olanak sağlayan yazılımlar kullanmaktadır. |
|
Güncel Antivirus ve Antispam Sistemleri |
Şirketimizde dışarıdan gelebilecek saldırılara vb. durumlara hazırlıklı olmak ile sistem ve veri güvenliğini sağlama amacıyla en güncel ve güvenilir olan antivirus ve antispam sistemleri kullanılmaktadır. |
|
Güvenlik Önlemleri |
Fiziksel ortamda tutulan kişisel verilerin çalınması veya yetkisiz kişi tarafından alınması/görülmesine karşı güvenlik kamera sistemi, hırsızlık alarm sistemi, ilgili yerlere kontrollü giriş-çıkış ve kilit sistemi kurulmuştur. |
6.1.2. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilmesi amacıyla gerekli teknik altyapı kurulmuş, teknik altyapının sıhhatli işleyişi için gerekli teknik ve idari denetim mekanizmaları oluşturulmuştur.
6.1.3. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilmesi amacıyla teknik uzmanlardan destek temin edilmiştir.
6.1.4. İş ve güvenlik devamlılığının sağlanabilmesi ile acil durumların üstesinden gelinebilmesi amacıyla risk yönetim ekibi oluşturularak acil durum planlaması yapılmıştır.
6.1.5. Çalışanlarımız, iş ortaklarımız ve iş ilişkisinde olduğumuz diğer üçüncü kişilere hukuki, teknik ve idari riskler hakkında bilgilendirme yapılmış, çalışanlarımıza kişisel verilerin işlenmesine, saklanmasına, imhasına ve veri güvenliğine ilişkin genel ve olay bazlı teknik, idari ve hukuki farkındalık eğitimleri verilmiştir. Eğitimler gerektiğinde belirli aralıklar ile tekrar edilmektedir. Verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve süreleri net olarak tanımlanmıştır. Periyodik olarak yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınma süreci yürütülmektedir.
6.1.6. Kişisel verilerinizin aktarıldığı üçüncü parti kişilerden, kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesi ile kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilebilmesinin temini amacıyla gerekli güvenlik tedbirlerini aldığına ve/veya alacağına ilişkin taahhütler alınmıştır.
6.1.7. Kişisel verilerinize hukuka aykırı erişimin önlenmesi ve kişisel verilerinizin hukuka aykırı işlenmesinin engellenmesi amacıyla Şirket içi veriye erişim yetkilendirmeleri yapılmış olup, yöneticilerimiz tarafından periyodik olarak erişim yetkilileri denetlenmektedir.
6.1.8. Kişisel verilerinizin imhası ile ilgili yapılan bütün işlemlerin kayıt altına alınmasını ve söz konusu kayıtların asgari 2 yılsaklanmasını teminen teknik ve idari altyapı kurulmuştur.
6.1.9. Kişisel verilerinizin hukuka uygun olarak imha edilebilmesi için çalışanlarımıza dijital ve fiziki kayıt ortamlarındaki kişisel verilerin silinme, yok edilme ve anonim hale getirilme yöntemleri ile periyodik imha süre ve süreçlerine ilişkin hukuki, idari ve teknik eğitimler verilmiştir.
6.1.10. Silinen kişisel verilerinizin, ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli teknik ve idari tedbirler alınmıştır. Bu bağlamda Şirketimizce kullanılan veri silme yöntemleri vasıtasıyla silinen kişisel verilerinize ilgili kullanıcı tarafından erişilmesi ve/veya kullanılması imkansız kılınmıştır.
6.1.11. Kişisel verilerinizin güvenli bir şekilde saklanması, kişisel verilerinize hukuka aykırı olarak erişilmesinin ve kişisel verilerinizin hukuka aykırı olarak işlenmesinin önlenmesi ve kişisel verilerinizin hukuka uygun olarak imha edilmesine ilişkin almış olduğumuz hukuki, idari ve teknik tedbirleri periyodik olarak güncellemekteyiz.
6.1.12. İşbu Politika’nın sağlıklı yürütülmesi ve alınan tedbirlerin yeterliliğini kontrol amacıyla Veri İşleme Envanteri oluşturulmuştur.
6.1.13.Yukarıda sayılan teknik ve idari tedbirlerin yanı sıra özel nitelikli kişisel veriler için ayrı bir veri güvenlik politikası belirlenmiştir.
6.1.14. Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmektedir. Özel nitelikli kişisel verilere erişilen yazılıma ait kullanıcı yetkilendirmeleri yapılmış, bu yazılımların güvenlik testleri düzenli olarak yapılmakta ve test sonuçlarının kayıt altına alınmaktadır. Verilere uzaktan erişim sağlanması halinde en az iki kademeli kimlik doğrulama sisteminden geçilmesi sağlanmaktadır.
6.1.15. Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda farkındalık ve veri güvenliği eğitimleri verilmiş, gizlilik sözleşmeleri yapılmış, taahhüt alınmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve süreleri net olarak tanımlanmıştır. Periyodik olarak yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınma süreci yürütülmektedir.
6.1.16. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir. Bu amaçla, işbu verilerin e-posta yoluyla aktarılması halinde şifreli olarak kurumsal e-posta adresiyle aktarılmakta; Sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmekte; taşınabilir bellek vb. ortamlarla veri aktarımı söz konusu ise kriptografik anahtar oluşturulmaktadır. Yine işbu verilerin matbu / basılı olması halinde olası bir veri aktarımında söz konusu evraklar “GİZLİ” formatta gönderilmektedir.
MADDE 7 – SÜRELER
7.1. Kanunlarda öngörülen asgari saklama süreleri saklı kalmak kaydıyla kişisel verileriniz; “ Kişisel Verilerinizin İşlenmesine İlişkin Aydınlatma Metni” kapsamında ilan edilen ‘kişisel verilerinizi işleme amacının tümüyle ortadan kalkması veya Kanun’un 5’inci ve 6’ncı maddelerinde yer alan veri işleme şartlarının tamamının ortadan kalkması veyahut bunların hiçbirisi olmasa dahi Şirketimiz açısından kişisel verilerinizi işlemenin teknik, idari veya mali olarak imkânsız hale gelmesi durumunda kişisel verileriniz, bu durumun ortaya çıkışını takiben ilk periyodik imha işleminde re’sen veya talebiniz üzerine Şirketimizce silinir, yok edilir veya anonim hale getirilir.
7.2. Şirketimizce benimsenen imha periyotları her yılın 4. ayının sonu ve 10. ayının sonunda olmak üzere yılda iki seferdir.
7.3. Kanun’un 13’üncü maddesine istinaden Şirketimize yazılı olarak veya Kurul’un belirleyeceği sair yöntemlerle yapacağınız başvuru ile kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinizde aşağıdaki usul ve esaslar geçerli olacaktır:
7.3.1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebinize konu kişisel verileriniz silinir, yok edilir veya anonim hale getirilir. Talebiniz en geç otuz gün içinde sonuçlandırır ve tarafınıza bilgi verilir.
7.3.2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel verileriniz üçüncü kişilere aktarılmışsa, Şirketimiz bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
7.3.3. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, talebiniz Şirketimizce Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir. Bu halde ret cevabı tarafınıza en geç otuz gün içinde yazılı olarak ya da elektronik ortamdabildirilir.
7.3.4. Talebinizin niteliğine talep sonucunuz ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
7.4. Kişisel verilerinize ilişkin -kanunlarda öngörülen azami ve asgari saklama süreleri saklı kalmak kaydıyla- veri kategorilerine göre saklama süreleri ile imha ve periyodik imha süreleri aşağıdaki tabloda belirtilmiştir:
|
Kişisel Veri Kategorisi |
Kişisel Verilerinizin Saklanma Süresi |
Kişisel Verilerinizin İmha Süresi |
|
Mağaza veya İnternet Ortamında Mal ve Hizmet Satın Alan Müşterilerden Elde Edilen Kişisel Veriler |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
|
İş Çözüm Ortağı/ Tedarikçilere İlişkin Kişisel Veriler |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
|
İş Başvurusu Sırasında Çalışan Adaylarına İlişkin Kişisel Veriler |
2 yıl
|
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
|
Personele Ait Kişisel Veriler (Kimlik, İletişim, Özlük Bilgileri, Hukuki İşlem Verileri, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Fiziksel Mekân Güvenliği) |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
|
Personele Ait Ceza Mahkumiyeti ve İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Alınan Sağlık Verileri |
Sağlık Verileri 15 yıl, Ceza Mahkumiyeti hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
|
Ziyaretçilere İlişkin Kişisel Veriler (Kamera Kayıtları, log kayıtları) |
Log kayıtları 2 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
|
Çevrimiçi Ziyaretçilere İlişkin Kişisel Veriler (Çerez vb.)
Çevrimiçi Websitesi Üyelik İşlemleri Ve Üyelere İlişkin Kişisel Veriler |
2 yıl
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
|
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde |
|
Şirket Ortak ve Yetkilileri İle TTK Kapsamında Tutulan Ticari Defter ve Kayıtlara İlişkin Kişisel Veriler |
10 yıl |
İmha yükümlülüğünün doğmasını takiben ilk periyodik imha işleminde veya kişisel verileri işleme şartlarının tamamının ortadan kalkmış olması şartıyla Kanun’un 13’üncü maddesine istinaden yapacağınız başvuru üzerine en geç 30 gün içinde. |
7.5. Kişisel verileri saklama sürelerinin tayininde, olası hukuki uyuşmazlıkların doğması ihtimaline binaen gerek Şirketimiz gerekse ilgili kişilerin haklarını savunabilmek, delil ibraz edebilmek, def’i ve itirazlarda bulunabilmek adına; doğabilecek hukuki uyuşmazlığa konu hakkın ileri sürülebilmesine yönelik zamanaşımına uğrama süreleri ile kanuni yükümlülüklere ilişkin zorunlu süreler esas alınmıştır.
MADDE 8 - KİŞİSEL VERİLERİNİZİN İMHASINDA KULLANILABİLECEK YÖNTEMLER
8.1. İşleme amacı tamamen ortadan kalkan elektronik ortamdaki veya kağıt ortamındaki kişisel veriler Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Rehberi”ne uygun olarak silinir, yok edilir veya yine bu Rehber’de öngörülen yöntemlerle anonim hale getirilir. Teknik Birim tarafından gerçekleştirilen tüm silme, yok etme veya anonim hale getirme işlemleri elektronik ortamda zaman damgası ile loglanarak kayıt altına alınır. Kağıt ortamdaki kişisel veriler bakımından ise bu işlemlerin gerçekleştirildiğine ilişkin tutanak düzenlenir ve Teknik Birim tarafından muhafaza edilir. Elektronik ve kağıt ortamdaki kişisel verilere ilişkin silme, yok etme veya anonim hale getirmeye ilişkin kayıtlar üç yıl süre ile saklanır. Zeynep Pelin Işlak Sacre Tasarım; kişisel verileri saklama süreleri boyunca sadece ilgili departmanların bu verilere erişimini sağlayacak şekilde “silme” yöntemini kullanır. Saklama sürelerinin bitmesi ve kişisel verinin saklanmasını gerektirecek herhangi bir başka amacın mevcut olmaması halinde ise anonim hale getirme yöntemini kullanır.
Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu olarak silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi, erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi, ilgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi, ilgili kullanıcıların kişisel veriler kapsamında erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.
Kişisel Verilerin Silinmesi Yöntemleri
Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox vb.)
Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri hiçbir şekilde geri getirme yetkisinin olmayacağı şekilde işlem yapılmaktadır.
Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karatma işlemi ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde silme veya sabit mürekkep kullanılarak çizme, boyama işlemi ile ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması şeklinde yapılır.
Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler şifreleme anahtarlarıyla güvenli ortamlarda saklanır, bu ortamlara uygun yazılımlar kullanılarak silme işlemi gerçekleştirilir.
Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (delete vb.) silinmesidir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Zeynep Pelin Işlak Sacre Tasarım, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmesi gerçekleştirilir.
Yerel Sistemler
Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılabilir.
De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma ya da de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi sağlanır.
Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır:
Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünlerin, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Bu sebeple (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, SSD, PATA vb.), SCSI (SCSI Express vb.) ara yüzüne sahip olanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
Mobil telefonlar (SIM kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Bu sebeple (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Kağıt ve Mikrofiş Ortamlar: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür. Yahut yakma metodu ile geri döndürülemez şekilde yok edilir.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
Bulut Ortamı: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir. Yukarıdaki ortamlara ek olarak arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemi ise aşağıdaki şekilde gerçekleştirilir;
İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir,
Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara,
Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verilerin anonim hale getirilmiş olması için, kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.
Veri sorumlusu olarak Şirket, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak gerçekleştirilir.
MADDE 9 - POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, elektronik ortamda yayımlanır, internet sayfasında açıklanır.
MADDE 10 - POLİTİKANIN GÜNCELLEME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
MADDE 11 – YÜRÜRLÜK
11.1. İşbu Politika yayımı tarihinde yürürlüğe girer.
11.2. Politika’da değişiklik ve güncelleme yapılması halinde, ilgili değişikliğe ilişkin bilgileri de kapsayacak yeni sürüm yayımlanır.
11.3. İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır:
|
BELGE |
TARİHÇESİ |
|
Versiyon |
Değişikliğin Tanımı |
|
1.0 |
İlk Yayınlanma |
Dikkatinizi çekeriz, kanundan doğan yükümlülüktür
Sızma (Penetrasyon) Testleri
(elektronik ortamda işlenen verileriniz yönünden herhangi bir sızma olup olmadığını tespit etmek)
Erişim ve Yetki Matrislerinin Belirlenmesi
(her departmana özgü olarak erişim ve yetki matrisi belirlenmekte)
Veri Maskeleme
(özel nitelikli kişisel verilerinizde, işbu verilerin yetki matrisinde yetkili olmayan kişilerle/3.kişilerle paylaşımı sırasında veri güvenliğini sağlama adına veri maskeleme veya şifreleme)
Şirket çalışanlarımızın arttığı noktada veri envanteri hazırlanırken ilgili hususlar dikkate alıncakatır
Kanuni yükümlülüktür
Veri sorumlusu siciline kayıtlı olmak zorunda değiliz,
şu aşamada gerekte yok ileride konuşulacak madde.
Kep adresimiz olduğu takdirde o da eklenebilir.
Sizin insiyatifizdedir.