Sepetinizde ürün bulunmamaktadır: TL0,00
Veri Saklama, Anonimleştirme ve İmha Politikası
Kişisel Verilerin Saklanması ve İmhası Prosedürü
1. Amaç
Bu prosedürün amacı, bilginin elde edilmesi, işlenmesi ve saklanmasında kullanılan tüm basılı ve yazılı içerik, bilgi teknolojileri varlıkları ve çevre birimlerinin gerekli durumlarda güvenli ve 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'una uygun bir şekilde imha edilmesini sağlamaktır.
2. Kapsam
Prosedür tüm kişisel, ticari veri kayıtlarını ve iş süreçlerini kapsar.
3. Tanımlar
Kanun: 6698 "Kişisel verilerin korunması" kanununu ifade eder.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesini ifade eder.
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri.
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı.
Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı.
Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirilmesi işlemidir.
4. Referanslar
6698 Sayılı Kişisel Verilerin Korunması Kanunun 30224 Sayılı 28.10.2018 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
5. Uygulama
5.1. Varlıkların İmhası
Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler ilgili iş birimi tarafından silinir, yok edilir veya anonim hale getirilir. Mahkeme kararı varsa, hükmedilen imha yöntemi uygulanır.
Bilgi kayıt özelliğine sahip cihazlardaki bilgiler yetkisiz erişime karşı silinir ve cihazlar fiziksel olarak tahrip edilir. İmha tutanakları düzenlenir ve kayıt altına alınır.
Verilerin Silinmesi Yöntemleri:
a. Kâğıt ortamında bulunan kişisel veriler: Kağıt öğütücüyle imha edilir veya karartma yöntemi uygulanır.
b. Merkezi sunucuda yer alan ofis dosyaları: İşletim sistemindeki silme komutu ile silinir.
c. Taşınabilir medyada bulunan veriler: Silme komutu ile silinir.
d. Veri tabanları: İlgili satırlar veri tabanı komutlarıyla silinir.
Varlıkların ve Verinin Yok Edilmesi Yöntemleri:
a. Yerel sistemlerde: De-manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden biri uygulanır.
b. Çevresel sistemlerde: Ağ cihazları, flash ortamlar, manyetik bantlar, sim kartlar, optik diskler ve sabit kayıt ortamları uygun fiziksel veya yazılımsal yöntemlerle yok edilir.
c. Basılı ortamlar: Kâğıt imha makineleriyle yok edilir. Tarama yoluyla dijitale aktarılan veriler ise bulunduğu ortama göre imha edilir.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel Verileri Koruma Kurumu’nun yayınladığı rehberdeki yöntemlerden uygun olanı uygulanır. Gözden geçirmelerde veya işleme şartları kalktığında, ilgili veriler silinir, yok edilir veya anonim hale getirilir.
Verilerin imhasında Devlet Arşivleri Genel Müdürlüğü’nün saklama süreleri dikkate alınır. Süresi dolan veriler imha edilir.
5.1.1. Çok Paydaşlı Verilerin İmhası
Merkezi sistemlerde yer alan çok paydaşlı verilerin imhası gerektiğinde, Veri Sorumlusu Temsilcisi görüşü alınarak imha veya saklama kararı verilir.
5.1.2. Veri Sahibi Talebi Üzerine Kişisel Verilerin İmhası
Kişisel veri sahibi, “Kişisel Veri Sahibi Başvuru Formu” ile başvurarak verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini talep edebilir. Başvurular kimlik tespitiyle değerlendirilir ve 30 gün içinde sonuçlandırılır. İşleme şartları ortadan kalktıysa veriler üç ay içinde silinir, yok edilir veya anonim hale getirilir; üçüncü kişilere aktarıldıysa bu kişiler de bilgilendirilir.
5.2. Kişisel Verilerin Periyodik Gözden Geçirmesi
Kişisel veriyi işleyen tüm birimler, işleme şartlarının devam edip etmediğini en geç altı ayda bir gözden geçirir. Gerektiğinde periyodik süre beklenmeden de denetim yapılır. İmha işlemleri kayıt altına alınır ve en az üç yıl saklanır. Tüm işlemler KVKK’nın 4. ve 12. maddelerine uygun yürütülür.
5.3. Kişisel Verilerin Saklanması
Kişisel verilerin işlenme süreleri "Kişisel Veri İşleme Envanteri"nde belirtilmiştir. Saklama ve imha süreleri yasal zorunluluklara ve veri sahibinin talebine göre değişebilir. Fiziksel güvenlik için evraklar ve dijital ortamlar yalnızca yetkili personel tarafından erişilebilir şekilde korunur. Dijital veriler güvenli sunucularda tutulur.
Kişisel veri güvenliğine ilişkin idari ve teknik tedbirler Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda detaylandırılmıştır.
6. Kontrol
Dokümanlar ihtiyaç halinde revize edilir ve yılda bir kez periyodik olarak kontrol edilir.
