Kişisel Veri Saklama, İşleme ve İmha Prosedürü

Kişisel Veri Saklama, İşleme ve İmha Prosedürü

1. AMAÇ:
Çalışanlarımızın görevlerini ifa ederken ellerine geçen ya da bilgileri dahiline giren tüm Kişisel Verileri (aşağıdaki tanımlara bakınız) gizli tutmalarını ve yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle ?KVKK? olarak anılacaktır.) ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlara uymalarını sağlamak amacıyla tasarlanmış ve çıkartılmış bulunmaktadır.

2. KAPSAM:
Bu prosedür kapsamını müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve diğer üçüncü kişilerin otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri oluşturur. Çalışanlarının kişisel verilerinin korunması ve işlenmesine ilişkin hususlar ise Kişisel Veri Saklama, İşleme Ve İmha Prosedürü kapsamına ilişkin olarak uygulanır.

3. KISALTMA ve TANIMLAR:

Kişisel Veri: İsim, adres, telefon numarası, e-posta adresi veya benzeri kimlik bilgileri gibi Veri Süjesiyle ilgili her türlü bilgi anlamına gelir.

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgiler.

Müşteriler/ Müşteri Adayları: Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın Baf Control tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler.

Özel Nitelikli Kişisel Veriler: Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Üçüncü Kişiler: Prosedürde tanımlanmamış olmasına rağmen işbu Prosedür çerçevesinde kişisel verileri işlenen tedarikçi, mağdur, aile bireyleri vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişiler.

VERBİS: Veri sorumluları (Baf Control ) veri sicil bilgi sistemi

Veri İrtibat Kişisi: Kişisel verileri koruma kurumu ile kurulacak iletişim için Baf Control Yönetim Kurulu tarafından VERBİS’e kayıt esnasından bildirilen gerçek kişi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.

Ziyaretçiler: Baf Control’nın fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler.

4. REFERANS DOKÜMANLAR:

6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kişisel Verilerin Korunması ve Kullanılması Aydınlatma Metni

 5.  UYGULAMA DETAYLARI:

 5.1  KİŞİSEL VERİ SAKLAMA VE İŞLEME FAALİYETLERİ

İş faaliyetleri sırasında çalışanlarımız, işbu prosedürde öngörülmüş usullerle toplamakta, işlemekte ve saklamakta ve imha etmektedir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

5.1.1   Saklamaya İlişkin Açıklamalar

KVKK’nın 3.(üçüncü) maddesinde ?kişisel verilerin işlenmesi? kavramı tanımlanmış 4.(dördüncü) maddesinde işlenen kişisel verinin ?işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi? gerektiği belirtilmiş, 5 (beş) ve 6.(altıncı) maddelerde ise ?kişisel verilerin işleme şartları? sayılmıştır.

Buna göre, kişisel veriler, Baf Control iş faaliyetleri çerçevesinde ilgili mevzuatta öngörülen veya işleme amaçlarına uygun ve işbu prosedürün 5.8 maddesinde belirtilmiş olan sürelerde saklanır.

5.1.2   Saklamayı Gerektiren Hukuki Sebepler

Baf Control, iş faaliyetleri çerçevesinde işlenen kişisel verileri ilgili mevzuatta öngörülen sürelere uygun olarak muhafaza eder. Bu kapsamda kişisel veriler;

-      6098 Sayılı Türk Borçlar Kanunu
-      5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
-      5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
-      6361 Sayılı İş Sağlığı ve Güvenliği Kanunu
-      6305 Sayılı Afet Sigortaları Kanunu
-      6102 Sayılı Ticaret Kanunu
-      4857 Sayılı İş Kanunu
-      2918 Sayılı Karayolları Trafik Kanunu
-      6502 Sayılı Tüketicinin Korunması Hakkında Kanun
-      İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik

Bu kanunlar uyarınca, yürürlükte olan ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere; Baf Control’nın uyması gereken mevzuat ve idari düzenlemeler uyarınca öngörülen saklama süreleri boyunca kişisel veriler saklanmakta ve işlenmektedir.

5.1.3   Saklamayı Gerektiren İşleme Amaçları

Kişisel veriler Baf Control Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’nde detaylandırılmış bulunan ve aşağıda sıralanmış amaçlarla saklanmaktadır:

-       Kurumsal iletişimi sağlamak,

-       Kurum güvenliğini sağlamak,

-       İstatiksel çalışmalar yapabilmek,

-       Reklam ve kampanya süreçlerinin yürütülmesi,

-       Satış ve pazarlama: Çalışanlar, müşteri ile ticari faaliyetlerin yürütülmesi kapsamında sipariş açma, fatura oluşturma, müşteri şikayetleri ve müşteri memnuniyeti süreçlerinde müşteriler hakkında Kişisel Verileri işbu prosedürde anılmış şartlarla toplayabilir, işleyebilir ve aktarabilirler.

-       İnsan kaynakları süreçlerini yürütmek: Çalışanlar, iş başvuruları, Baf Control çalışanlarının işe alınması, ücretleri, yan hakları ve bağlantılı konular, çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, insan kaynakları süreçlerinin planlanması, iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi gibi kişisel verileri mevcut yasalar çerçevesinde toplayabilir, işleyebilir ve aktarabilirler.

-       Tedarikçiler: Birlikte çalışılacak, hizmet alınacak herhangi bir şahıs şirketi olması durumunda yetkili gerçek kişinin verileri toplanabilir, işlenebilir ve aktarılabilir.

-       Yetkili servis başvurusu ve yetkili servis sözleşmeleri kapsamında ilgili süreçlerin yürütülmesi,

-       Baf Control ile iş ilişkisi bulunan gerçek/tüzel kişilerle irtibat sağlamak,

-       Yasal raporlamalar yapmak,

-       İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü

5.1.4   İmhayı Gerektiren Sebepler

Kişisel veriler;

-      İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

-      İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

-      Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

-      Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Baf Control tarafından kabul edilmesi,

-      Baf Control'ün , ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurulu’na şikâyette bulunması ve bu talebin Kişisel Verileri Koruma Kurulu tarafından uygun bulunması,

-      Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Baf Control tarafından ilgili kişinin talebi üzerine ya da re ’sen silinir, yok edilir veya anonim hale getirilir.

5.2 KAYIT ORTAMLARI

Kişisel veriler Baf Control tarafından Tablo 1’de listelenen ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanır.

Tablo 1: Kişisel veri saklama ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

1. Yazılımlar
- Server,
-  Netsis,
2. Güvenlik duvarı : Draytek Security Firewall
3. Antivirüs: AVG business
4. Kişisel bilgisayarlar
5. Cep telefonları
6. Tabletler
7. Optik diskler.
8. Kamera kayıt sistemleri
9. Ses kayıt sistemleri
10. Yazıcılar
11. Fotokopi makinaları

(1) Manuel veri kayıt ortamları
(a) Formlar,
(b) Belgeler
(c) Ziyaretçi kayıt defteri
 

 


5.3 KİŞİSEL VERİ İŞLEME KOŞULLARI

Kişisel verilerin bu prosedüre ve Baf Control Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’ne uygun olarak işlenebilmesi ve kullanılabilmesi için, Veri Kişisine işleme faaliyetlerine dair aydınlatma yapılması, Kişisel Verilerin işlenmesi konusunda izin istenmesi ve Veri Kişisinin açık rızasının alınması gerekir.

Bu amaçla çalışanlarımız tarafından, onaylanan formlar, sözleşmeler, açık rıza metinlerine göre çalışılmalıdır.

Ancak aşağıda sayılan istisnalardan birinin söz konusu olması halinde Veri Kişisinden açık rıza alma şartı uygulanmamalıdır:

· Kişisel Verileri işlemenin, Veri Kişisinin de taraf olduğu bir sözleşmenin ifası ve uygulanması için ya da bir sözleşmeye girmeden önce Veri Kişisinin talebi üzerine gerekli adımları atmak için zorunlu olması halinde,
· Kişisel Verileri işlemenin bir kanuni yükümlülüğe uymak için zorunlu olması halinde,
· Kişisel Verileri işlemenin bir kamu otoritesinin ya da resmi makamın yetkileri dahilindeki bir görevin ifası için gerekli olması halinde,
· Kamuya açık olan genel bilgilerin, yoruma dayanan bilgilerin ve/veya istatistik veri ve bilgilerinin işlenmesi halinde.

5.3.1 Veri Sorumlusu Olarak Baf Control'ün  Aydınlatma Yükümlülüğü

Veri Sorumlusu olarak işbu prosedürün 5.5 maddesinde anıldığı şekilde Kişisel Verilerin işlenmesi için her zaman Veri Kişisinden açık rıza alınması şartı bulunmasa dahi, Baf Control her zaman Veri Kişilerine aşağıdaki konularda bilgi verme yükümlülüğü bulunmaktadır:

-      Veri Sorumlusunun ve varsa temsilcisinin kimliği,
-      Kişisel verilerin hangi amaçla işleneceği,
-      İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
-      Kişisel veri toplamanın yöntemi ve hukuki sebebi,
-      İşbu prosedürün 5.5. maddesinde sayılmış Veri Kişisinin diğer hakları.

Baf Control, kişisel verilerin elde edilmesi sırasında veri sahiplerini aydınlatmaktadır. Bu kapsamda web sitesinde Aydınlatma metni yayınlamıştır. Baf Control zaman zaman iş süreçlerinin yürütülmesi, iletişim sağlanması amaçlarıyla tedarikçilerinin kişisel verilerine ihtiyaç duyabilir. Bu durumda sözü edilen tedarikçiye karşı Baf Control'ün aydınlatma yükümlülüğünün yerine getirilmesini teminen ilgili Baf Control yetkililerinin ?Tedarikçi Açık Rıza Ve Aydınlatma Metni Sözleşmesi? göndermesi mümkündür.

5.3.2 Özel Nitelikli Kişisel Verilerin işlenmesinde Uyulacak Kurallar:

İş kanunları ve mevzuatından doğan belirli hakların kullanılması veya belirli yükümlülüklerin yerine getirilmesi amaçlarıyla gerekli olmadıkça ve bu prosedür başta olmak üzere yürürlükteki sair mevzuat gereğince izin ve yetki verilen durumlar haricinde, Özel Nitelikli Kişisel Veriler işlenmeden önce bu verileri işlemek için ilgili kişinin açık izin ve rızasını mutlaka ve daima almak gerekir.

5.3.3 Çalışanların ve Çalışan Adaylarının Kişisel Verilerinin İşlenmesinde Uyulacak Kurallar

Çalışanlara ait Özel Nitelikli Kişisel Veriler de dahil olmak üzere Kişisel Verilerin İş Kanunu ve diğer ilgili mevzuat uyarınca yahut Baf Control tarafından belirlenen başka amaçlarla işlenebilmesi için, halihazırda Baf Control çalışanı bulunan kişilere ?KVKK Personel Bilgilendirme ve Muvafakatname?nin imzalatılması suretiyle aydınlatma ve açık rıza temini yükümlüğünün yerine getirilmesi gerekmektedir.

Hali hazırda Baf Control çalışanı durumunda bulunmayan, işe alım süreci olumlu şekilde tamamlanacak olan kişilere ilişkin kişisel verilerin işlenebilmesinin için, ilgili kişiye imzalatılacak olan iş sözleşmesine ?İş Sözleşmesine Eklenecek Kişisel Veri Koruma Maddesi?nin eklenmesi ve iş sözleşmesinin bu haliyle imzalanması suretiyle aydınlatma yükümlülüğünün yerine getirilmesi mümkündür.

5.3.4 Müşterilere Ait Kişisel Verilerin Pazarlama Amaçlarıyla İşlenmesi ve Kullanılmasında Uyulacak Esaslar

Müşterilerin kişisel verilerini doğrudan veya dolaylı olarak pazarlama yapmak maksadıyla toplanması ve işlenmesi için, kişisel verilerin toplanmasından önce Veri kişisi müşterinin açık rızasının alınmış olması gerekir. Bunun haricinde Veri Kişilerine ticari iletişim kurulması rızasından vazgeçme imkanlarının hem alınacak rıza sırasında hem de her iletişimde sağlanması gerekir.

5.3.5 Görevi Gereği Kişisel Veri İşleyen Çalışanların Özel Olarak Dikkat Etmesi Beklenen Hususlar

Görevlerinin bir gereği olarak ve görevleri esnasında, Baf Control adına Kişisel Verileri işlerken, çalışanlarımızın işbu prosedürde yer alan hususların yanı sıra aşağıda sayılan hususları gözetmeleri beklenmektedir:

-      Kişisel Verilerin Veri Koruma Mevzuatı’na uygun bir şekilde, meşru yollarla ve adil bir biçimde işlenmesi gerekir.
-      Kişisel Verilerin sadece izin verilen ve açıklanan yasal amaçlar için işlenmesi gerekir.
-      Veri Kişisine açıklamayan veya meşru olmayan bir amaç için kesinlikle veri işlenmemesi ve saklanmaması gereklidir.
-      Kişisel Verilerin işlenme amacı için yeterli olması, bu amaçla ilişkili ve bağlantılı olması ve işlenme amacına kıyasla aşırı miktarda veya sayıda olmaması gerekir.
-      Kişisel Verilerin doğru ve gerçek olması ve gerektiğinde güncellenmesi gerekir.
-      Herhangi bir amaçla işlenen ve kullanılan Kişisel Verilerin bu amaç için gerekli olan süreden daha uzun bir süreyle tutulmaması ve saklanmaması gerekir.

5.3.6 Görevi Gereği Özel Nitelikli Kişisel Veri İşleyen Çalışanların Uyması Gereken Kurallar

Görevlerinin bir gereği olarak ve görevleri esnasında Baf Control adında Özel Nitelikli Kişisel Veri işlemekte olan çalışanların işbu prosedürün diğer maddeleri ve 5.3.6. maddede sözü edilen hususları gözetmelerinin yanı sıra KVKK mevzuatı uyarınca SZ-BAFCONTROL-02 Gizlilik Sözleşmesi’ni imzalamaları gerekmektedir.

5.3.7 Kişisel Verilerin Transferi ve Devri Gerçekleştirirken Uyulması Gereken Kurallar

Çalışanlarımız, bu prosedürde belirlenen koşullar haricinde herhangi bir üçüncü kişiye veri transfer etmeyeceklerdir.

 5. 4 TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin Korunması Kanunu’nu uyarınca yeterli önlemler çerçevesinde olmak üzere Baf Control tarafından teknik ve idari tedbirler alınmaktadır.

5.4.1  Teknik Tedbirler

Baf Control tarafından işlenmekte olan kişisel veriler bakımından alınan teknik tedbirler aşağıda sayılmıştır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Güncel antivirüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.
  • Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.

5.4.2 İdari Tedbirler

Baf Control tarafından işlenmekte olan kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır:

  •  Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

  •  Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

  •  Çalışanlar için yetki matrisi oluşturulmuştur.

  •  Gizlilik taahhütnameleri yapılmaktadır.

  •  Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

  •  İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. 

  •  Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

  •  Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

  •  Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

  •  Kişisel veriler mümkün olduğunca azaltılmaktadır.

  •  Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

  •  Kurum içi periyodik ve / veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

  •  Mevcut risk ve tehditler belirlenmiştir.

  •  Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

  •  Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

  •  Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.

 

5.5 VERİ KİŞİLERİNİN HAKLARI

Baf Control tarafından kişisel verileri işlenmekte olan veri süjeleri Baf Control başvurarak kendisi ile ilgili;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Veri Koruma Mevzuatı’nda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel veri ile ilgili yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Kişisel Verilerin doğrudan, pazarlama çabalarının bir parçası olarak toplandığı durumlarda, Veri Kişisi, kendisine ait Kişisel Verilerin üçüncü şahıslara verilmesine veya pazarlama amaçlarıyla kullanılmasına itiraz etme hakkına ya da Kişisel Verileri üçüncü şahıslara verilmeden veya pazarlama amaçlarıyla kullanılmadan önce durumun kendisine bildirilmesini talep etme hakkına sahiptir.

5.6 GÜVENLİK KOŞULLARI

Baf Control çalışanları, Kişisel Verileri kazayla veya yasadışı bir şekilde imha olma, kaybolma, tahrif edilme, yetkisiz ifşa veya yetkisiz erişim risklerine (Güvenlik Olayı) karşı koruma amacıyla aşağıdaki de dahil tüm makul güvenlik önlemlerini alırlar;

  •  Kişisel Verilere erişimi sadece görevlerinin ifası esnasında bu bilgilere erişmesi zorunlu olan çalışanlarla sınırlı tutmak.
  •  Uygunsa, şifre korumalı elektronik dosyaları kullanmak.
  •  Kişisel Verileri içeren dosyaları düzenli saklamak ve bu dosyalara fiziksel erişimi gerektiği gibi ve uygun şekilde kısıtlamak.
  •  Kişisel Verilere yetkisiz erişim veya Kişisel Verilerin usulsüz kullanımı gibi olay ve durumlardan haberdar olduğunda bunları derhal âmirine bildirmek.
  •  Kişisel Verileri ilk belirtilen amacı dışında bir amaçla kullanmadan önce ilgili Veri Kişisinden açık rıza almak ve işleme konusuyla ilgili aydınlatma yükümlülüğünü yerine getirmek.

Kişisel Verileri korumak için alınan güvenlik tedbirleri periyodik olarak denetlenmektedir. Böylelikle kişisel verilerin korunması için ilave güvenlik tedbirlerine veya prosedürlerine ihtiyaç olup olmadığı tespit edilir.

5.7 KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Baf Control tarafından re ‘sen (periyodik imha süreleri) veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Kişisel Verilerin Silinmesi

Kişisel veriler Tablo-2’de verilen yöntemlerle silinir.

Tablo 2: Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı

Açıklama

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Kişisel Verilerin Yok Edilmesi

Tablo 3 : Kişisel Verilerin Yok edilmesi

 Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

 Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.


Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. 

5.8 VERİ TÜRLERİNE GÖRE SAKLANMA VE İMHA SÜRELERİ

Aşağıdaki tabloda belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, departman yöneticileri sorumludur.

Departman yöneticilerinin takibinden sorumlu olduğu Baf Control periyodik imha süresi 1 yıl olarak belirlenmiştir. Departman yöneticileri bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir.

Tablo 4: Kişisel veri saklama ve imha süreleri

VERİ TÜRÜ

MUHAFAZA SÜRESİ

İMHA SÜRESİ

E-postalar ve şirket içi yazışmalar

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Sözleşmeler

Sözleşmenin sona ermesini takip eden 10 yıl boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Müşteri Kayıtları

Müşteri ile girilen son etkileşimi takip eden 10 yıl boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Çalışan Kayıtları

Çalıştıkları süre boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Eski Çalışan Kayıtları

İşten ayrılmalarını takip eden 10 yıl boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Çalışan Adaylarına İlişkin Kayıtlar

Başvuruyu takip eden 2 yıl boyunca

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Muhasebe ve Finans Kayıtları

5 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Şirket İçi Şikayetler ve İlgili Belgeler

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Hukuk Kayıtları

10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Resmi Yazışmalar

Süresiz

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Satınalma Kayıtları

İş ilişkisinin sona erme tarihinden itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Yetkili Servis Kayıtları

İş ilişkisinin sona erme tarihinden itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Vergi Kayıtları

5 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Kamera Kayıtları

10 gün

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

Ziyaretçi Kayıtları

120 gün

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

 

load

TEKLİF İSTE

Güvenlik Kodu

Mesajınız Başarılı Bir Şekilde Gönderildi

Lorem Ipsum, dizgi ve baskı endüstrisinde kullanılan mıgır metinlerdir. Lorem Ipsum, adı bilinmeyen bir matbaacının bir hurufat numune kitabı oluşturmak üzere bir.

TEKLİF İSTE

Keşif Talep Formu

Güvenlik Kodu

İletişim Formu

Güvenlik Kodu

Mesaj Durumu

Test