CCN SERVİS İŞLETME VE YÖNETİM HİZMETLERİ ANONİM ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İçindekiler
I. GİRİŞ 2
1. Politika’nın Amacı 2
2. Politika’nın Kapsamı 3
3. Politika’nın ve İlgili Mevzuatın Uygulanması 3
4. Politika’nın Yürürlüğü 3
5. Tanımlar 3
II. KİŞİSEL VERİLERİN KORUNMASI 5
1. Güvenlik 5
2. Denetim 5
3. Gizlilik 5
4. Kişisel Verilere Yetkisiz Erişim 5
5. İlgili Kişilerin Yasal Haklarının Gözetilmesi 6
6. Özel Nitelikli Kişisel Verilerin Korunması 6
III. KİŞİSEL VERİLERİN İMHA POLİTİKASI VE SAKLAMA SÜRELERİ 7
3. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri 9
b. Kişisel Verileri Anonim Hale Getirme Teknikleri 9
4. Kişisel Verilerin Saklanma ve Periyodik İmha Süreleri 9
IV. İLGİLİ KİŞİLERİN SINIFLANDIRILMASI VE KİŞİSEL VERİLER İLE EŞLEŞTİRİLMESİ 10
I. GİRİŞ
6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup “kimliği belirli veya belirlenebilir” gerçek kişilere (“ilgili kişi”) ilişkin her türlü bilginin işlenmesine ilişkin düzenlemeleri içermektedir. CCN Servis İşletme Ve Yönetim Hizmetleri Anonim Şirketi (“Şirket”) olarak Kanun gereği kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor, tüm planlama ile faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle Şirketimiz, kişisel verilerin korunması ve işlenmesi için tüm idari ve teknik tedbirleri almaktadır. Bu konunun en önemli ayağını ise işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) ile yönetilen; Çalışanlarımızın, Çalışan Adayları’mızın, Şirket Hissedarları’nın, Şirket Yetkilileri’nin, Ziyaretçi’lerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanları’nın, Hissedarları’nın, Yetkilileri’nin ve Üçüncü Kişi’lerin kişisel verilerinin korunması oluşturmaktadır.
Anayasa’nın 20. maddesine göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda Şirketimiz, işbu Politika ile yönetilen; Çalışan Adayları’nın, Şirket Hissedarları’nın, Şirket Yetkilileri’nin, Ziyaretçiler’inin, İşbirliği İçinde Olduğu Kurumların Çalışanları, Hissedarları, Yetkilileri’nin ve Üçüncü Kişi’lerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir şirket politikası haline getirmektedir.
İşbu Politika’da kişisel verilerin işlenmesinde Şirket olarak benimsediğimiz ve aşağıda sıralanan temel ilkelere ilişkin detaylı açıklamalarda bulunulacaktır:
• Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
• Kişisel verileri doğru ve gerektiğinde güncel tutma,
• Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
• Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
• Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
• Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
• Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
• Kişisel verilerin muhafazasında gerekli tedbirleri alma,
• Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve Kişisel Verilerin Korunması Kurulu’nun (“Kurul”) düzenlemelerine uygun davranma,
• Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme.
1. Politika’nın Amacı
İşbu Politika’nın amacı, Şirketimizin Kanun ve ilgili sair mevzuattan doğan yükümlülükleri ile Kanun uyarınca uyacağı usul ve esaslar hakkında kişisel veri sahiplerini -Çalışanlarımız,Çalışan Adayları’mız, Şirket Hissedarları, Şirket Yetkilileri, Ziyaretçi’lerimiz, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları, Yetkilileri ile Üçüncü Kişi’ler başta olmak üzere- bilgilendirmek ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasında başta Anayasa’nın maddesinde düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini azami derecede korumaktır. Politika’nın amacı doğrultusunda, Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ile kişisel veri sahiplerinin özel hayat gizliliği ve veri güvenliği hakkının korunmasını hedeflemekteyiz.
Kişisel Veri Saklama Ve İmha Politikası, Şirketimiz nezdinde gerçekleştirilen çeşitli süreçler kapsamında işlen kişisel verilere ilişkin olarak, kişisel verilerin güvenliğine ve silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.
2. Politika’nın Kapsamı
İşbu Politika; Çalışanlarımızın, Çalışan Adayları’mızın, Şirket Hissedarları’nın, Şirket Yetkilileri’nin, Ziyaretçi’lerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanları’nın, Hissedarları’nın, Yetkilileri’nin ve Üçüncü Kişi’lerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Bu doğrultuda yukarıda sayılan kişisel veri sahiplerine Politika hükümlerinin tamamı uygulanabileceği gibi yalnızca bir kısım hükümleri de uygulanabilecektir. Bu politika, ilgili kişilere ait kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme ve kişisel verilerin güvenliği için alınan idari ve teknik önlemlere ilişkindir.
3. Politika’nın ve İlgili Mevzuatın Uygulanması
İşbu Politika, yürürlükte bulunan mevzuat ile ortaya konulan kuralların Şirketimizin uygulamaları kapsamında somutlaştırılıp düzenlenmesiyle oluşturulmuştur. Bu kapsamda kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Şirket olarak Kanun’da öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıkları yürütmekteyiz.
4. Politika’nın Yürürlüğü
Şirketimiz tarafından düzenlenerek 08.04.2016 tarihinde yürürlüğe girmiştir. Politika Şirketimizin internet sitesinde www.ccngroup.com.tr yayımlanır.
5. Tanımlar
Bu politikada geçen,
a. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b. Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d. İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
e. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
f. Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
g. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
h. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
i. Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
j. Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
k. Kurul: Kişisel Verileri Koruma Kurulunu
l. Kurum: Kişisel Verileri Koruma Kurumunu,
m. Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
n. Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
o. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi
p. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
q. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
r. Üçüncü kişi: Şirketimiz tarafından hizmet verilen hastanelere/entegre sağlık tesislerine tetkik, tedavi için müracaat edip ayaktan ya da yatarak tedavi gören kişiyi/hastayı ifade eder.
KAYIT ORTAMLARI
Şirket tarafından kişisel verilerin bulundurulduğu kayıt ortamları; Şirket adına kullanılan bilgisayarlar, programlar, Bulut Sistemleri, ağ üzerinde veri saklaması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri, kağıt, birim dolapları, arşivdir. Şirket, sayılan kayıt ortamlarına ek olarak kullanabileceği diğer kayıt ortamlarını da İmha Politikası’na dahil edecektir.
II. KİŞİSEL VERİLERİN KORUNMASI
Şirketimiz tarafından veri güvenliğini sağlamak adına Kanun’un 12. maddesi gereği aşağıda belirtilen tedbir ve önlemler alınmaktadır.
1. Güvenlik
Şirketimiz Kanun’a uygun olarak kişisel verilerin hukuka aykırı biçimde erişilmesini ve işlenmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
2. Denetim
Şirketimiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Bu kapsamda hem Şirket içerisinde IK, IT ve Hukuk birimlerinden birer katılımcı olacak şekilde bir ekip oluşturulmuş olup hem de dışarıdan destek alınmaktadır.
3. Gizlilik
Şirketimiz, ilgili veri sorumluları ve veri işleyenlerin, sahip oldukları kişisel verileri Kanun ve Politika hükümlerine aykırı olarak başkasına açıklamamaları ve işleme amacı dışında kullanmamaları için teknolojik imkân ve uygulama maliyetlerine göre gerekli tüm teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket çalışanlarımız ile Kanun ve Politika hakkında bilgilendirilme ve eğitim çalışmaları yapılmaktadır.
4. Kişisel Verilere Yetkisiz Erişim
Şirketimiz tarafından işlenen kişisel verilerin Kanun’a uygun olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa sürede ilgili kişine ve Kurul’a bildirilmesi için gerekli işlemleri yürütür. Kurul tarafından gerekli görülmesi halinde bu durum Kurul’un internet sitesinde ya da Kurul tarafından uygun görülecek başka bir yöntemle ilan edilebilir.
5. İlgili Kişilerin Yasal Haklarının Gözetilmesi
Şirketimiz, ilgili kişilerin Politika ve Kanun’un uygulanması ile ilgili tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır.
6. Özel Nitelikli Kişisel Verilerin Korunması
Kanun’un 6. maddesine göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına veya mağduriyete neden olma riski taşıyan veriler olup diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Bu nedenle Şirketimiz tarafından bu tür verilerin alınmaması ana prensip olmakla birlikte, hukuka uygun olarak işlenen bu tür kişisel verilerin korunması için gerekli tüm tedbirler hassasiyetle alınır.
KİŞİSEL VERİLERİN GÜVENLİĞİ
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda öncelikle Şirketimiz tarafından işlenen kişisel verilerin neler olduğunun tespitine dair bir çalışma gerçekleştirilmiş, işlenen kişisel verilerin özel nitelikli kişisel veri olup olmadığı da gözetilerek, bu verilerin korunmasına ilişkin ortaya çıkabilecek riskler belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik gerekli teknik ve idari tedbirler uygulamaya konmuştur.
Kişisel veri güvenliğinin sağlanması için, kişisel verilerin hukuka aykırı şekilde açıklanması ve paylaşılmasının önüne geçebilmek ve KVKK’ya yönelik farkındalık yaratabilmek amacıyla, personele ve yöneticilere düzenli olarak eğitimler verilmektedir.
Ayrıca kişisel veri işleme süreçlerine dahil olan çalışanlardan, iş süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istenmekte, çalışanların güvenlik politika ve prosedürlerine aykırı hareket ettiklerinin tespiti halinde gerekli disiplin süreci yürütülmektedir.
Şirket tarafından veri işleme süreçlerine dahil olan kişisel verilere personel bazında erişim sınırlandırması yapılmış, sınırlı sayıda personele yürüttükleri iş süreçleri ile ilgili olan kişisel verilere erişim yetkisi tanınmıştır. Personel tarafından gerçekleştirilen veri işleme faaliyetleri kayıt altına alınmaktadır. Şirket genelinde kişisel verilerin erişim hususunda “İzin Verilmedikçe Her Şey Yasaktır” ilkesine riayet edilmesine özen gösterilmektedir.
Kişisel verilerin hukuka aykırı şekilde işlenmesinin ve kişisel verilere hukuka aykırı şekilde erişilmesinin önüne geçmek için, kişisel verilerin işlenmesine ilişkin süreçlerin takibi ve denetimi için teknik sistemler kurulmuştur. Kişisel verilerin hukuka aykırı şekilde işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek için düzenli iç denetimler gerçekleştirilmektedir.
Kişisel verilere hukuka aykırı şekilde erişilmesini engellemek ve güvenli ortamlarda saklanmasını sağlamak için uygun güvenlik düzeyine sahip teknik yöntemler kullanılmakta ve söz konusu yöntemler gelişen teknolojiye uygun şekilde güncellenmektedir.
Şirket veri kayıt sistemine içeriden ya da dışarıdan bir saldırı olması halinde, bu durumun erken fark edilmesi ve erken müdahale edilebilmesi için, bilişim ağlarında hangi yazılım ve servislerin çalıştığı ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığı düzenli şekilde kontrol edilmekte, tüm kullanıcıların işlem hareketleri düzenli olarak tutulmaktadır.
III. KİŞİSEL VERİLERİN İMHA POLİTİKASI VE SAKLAMA SÜRELERİ
1. Kişisel Verilerin Saklanmasını Ve İmhasını Gerektiren Sebepler
Şirket,
• Kişisel Veri Sahibinin Açık Rızasının Bulunması,
• Kanunlarda Açıkça Öngörülmesi, Fiili İmkânsızlık Nedeniyle Açık Rızanın Alınamaması, Sözleşmenin Kurulması Veya İfası ile Doğrudan İlgili Olması,
• Şirketin Hukuki Sorumluluğunun Yerine Getirilmesi İçin Zorunlu Olması,
• İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması,
• Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması
• Şirketin Meşru Menfaatleri İçin Zorunlu Olması
hallerinden biri veya birkaçının bulunması halinde kişisel verilerinizi işleyebilecektir. Kişisel verilerin işlenmesine ilişkin detaylı bilgiye ulaşmak için “www.ccngroup.com.tr” adresinde yer alan Kişisel Verilerin Korunması Politikasını inceleyebilirsiniz.
İlgili kişilerin kişisel verileri, yukarıda sayılmış olan kişisel veri işleme nedenlerinin ortadan kalkması ile birlikte gerçekleştirilecek ilk periyodik imha sırasında imha edilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar en az üç yıl süreyle saklanır.
2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirketimiz, 5237 sayılı Türk Ceza Kanunu’nun 138. maddesinde, Kanun’un 7. maddesinde ve 28.10.2017 tarihli Resmi Gazete’de Yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hükümlerinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim hale getirir.
Öte yandan Yönetmelik’in ‘İlkeler’ başlıklı 7. Maddesi uyarınca kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili yapılan bütün işlemler Şirketimiz tarafından kayıt altına alınır ve söz konusu kayıtlar diğer hukuki yükümlülüklerimiz saklı kalmak kaydıyla en az 3 yıl boyunca saklanır.
Kişisel verilerin silinmesi ile bu veriler ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Buna göre veri sorumlusu olarak Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel verilerin silinmesi sürecinde, silme işlemine konu teşkil edecek kişisel veri belirlenmekte, söz konusu kişisel veriye erişim yetkisi olan ilgili kullanıcılar ve kullanıcıların kişisel veri üzerindeki yetkileri tespit edilmekte ve ilgili kullanıcıların söz konusu kişisel veri kapsamındaki erişim, geri getirme, tekrar kullanma yetkileri kaldırılmaktadır.
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, geri dönülemeyecek ve teknolojik çözümlemelerle okunamayacak şekilde sabit mürekkep kullanılarak ya da kesilerek, ilgili kullanıcılar için görünemez hale getirilmesi işlemidir.
Kişisel verilerin bulunduğu veri tabanlarında, kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (Delete vb.) silinmekte, dosya işletim sisteminde bulunan kişisel veriler için, dosyanın işletim sistemindeki silme komutu ile kişisel verinin silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması ile silme işlemi yapılmaktadır.
Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir.
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilerek, verilerin bulunduğu sistemlerin türüne göre, manyetik medya bulunan veriler için, de-manyetize etme, optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi ya da bir metal öğütücüden geçirilmesi, kâğıt ortamında bulunan kişisel veriler için kâğıt ötücüden geçirilmesi yöntemlerinden uygun olanı kullanılmaktadır.
Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir. Anonim hale getirilmedeki amaç, veri ile bu verinin tanımlandığı kişi arasındaki bağın kopartılmasıdır. Kişisel verilerin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleşme, rastgele hale getirme gibi yöntemler anonim hale getirme yöntemlerinden bazılarıdır.
3. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri
a. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin tamamen ortadan kalkması halinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri silebilir veya yok edebilir.
Şirketimiz silme ve yok etme işlemleri için aşağıdaki yöntemleri kullanabilir:
• Fiziksel Olarak Yok Etme (Physical Destruction): Kişisel veriler Şirketimizce herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken ilgili kişisel verinin hiç kimse tarafından sonradan erişilemeyecek, kullanılamayacak ve geri getirilemeyecek biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
• Uzman Tarafından Güvenli Olarak Yok Etme (Sending to a Specialist for Secure
Deletion) Şirketimiz bazı durumlarda kendisi adına kişisel verileri yok etmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından güvenli olarak yok edilebilir.
b. Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kanun’unun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamının dışında olup, ilgili kişinin açık rızası aranmayacaktır, Kurum tarafından belirtilen anonimleştirme teknikleri kullanılabilecektir.
4. Kişisel Verilerin Saklanma ve Periyodik İmha Süreleri
Şirketimiz, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin kanunlarda ve sair mevzuatta bir süre düzenlemesi bulunmuyorsa, kişisel veriler Şirketimizin o kişisel veriyi işlediği zaman yürütülen faaliyet kapsamında kişisel veriyi işleme amacının gerçekleşmesine kadar süre boyunca işlenmektedir. Bu veriler imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha tarihi ve işleminde silinmekte, yok edilmekte veya anonim hale getirilmektedir.
İlgili kişilerin kişisel verileri, yukarıda sayılmış olan kişisel veri işleme nedenlerinin ortadan kalkması ile birlikte gerçekleştirilecek ilk periyodik imha sırasında imha edilmektedir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar en az üç yıl süreyle saklanır.
IV. İLGİLİ KİŞİLERİN SINIFLANDIRILMASI VE KİŞİSEL VERİLER İLE EŞLEŞTİRİLMESİ
1. İlgili Kişilerin Sınıflandırılması
Bu Politika ve Kanun’un koruması kapsamından, Kanun’un 3. maddesi gereğince sadece gerçek kişiler faydalanabilmektedir; bu kapsamda ilgili kişiler aşağıdaki şekilde gruplandırılmıştır:
Çalışan Adayı: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişilerdir.
Şirket Müşterisi: Şirket üzerinden kişisel verileri elde edilen kişilerdir.
Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek kişiler ile Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerde (iş ortağı, tedarikçi gibi) çalışan, hissedarları ve yetkilileri dâhil olmak üzere, tüm gerçek kişilerdir.
Şirket Müşterisi: Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir.
Potansiyel Müşteri: Ürün ve hizmetlerimizi kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişilerdir.
Şirket Çalışanı: Şirket ve bağlı şirketler bünyesinde çalışan gerçek kişilerdir.
Şirket Hissedarı: Şirket ve bağlı şirketlerin hissedarı olan kişilerdir.
Şirket Yetkilisi: Şirket ve bağlı şirketlerin yönetim kurulu üyesi ve diğer yetkili kişilerdir.
Üçüncü Kişi: Şirket Çalışanları için hazırlanan Şirket Politikası kapsamına girmeyen ve bu Politika’da herhangi bir ilgili kişi kategorisine girmeyen diğer kişilerdir. Örneğin; hastalar,refakatçiler vb.
Ziyaretçi: Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.
2. Kişisel Veriler ile İlgili Kişilerin Eşleştirilmesi, Veri Sorumlusu ve Veri İşleyenler
Yukarıda tanım ve kapsamları verilen sınıflandırılmış kişisel verilerin, sınıflandırılmış kişisel veri sahipleri ile eşleştirmesi aşağıda sunulmaktadır.
Kişisel Veri Kategorisi ve Kişi Grubu Eşleştirmesi
Veri
Kategorileri |
Veri Kategorisi | İlgili Kişi |
Kimlik bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgiler | Şirket Hissedarı;Şirket Çalışanı; Şirket Yetkilisi; Şirket Müşterisi; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler. |
İletişim bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail gibi bilgiler | Şirket Hissedarı;Şirket Çalışanı Şirket Yetkilisi; Şirket Müşterisi; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü
Kişiler. |
Müşteri bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar
neticesinde müşterinin yetkilisi veya |
Potansiyel Müşteri, Müşteri, Ziyaretçi, Üçüncü Kişiler. |
çalışanı ilgili kişi hakkında elde edilen
bilgiler (müşteri numarası vb) |
||
Müşteri işlem
bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve
talepleri gibi bilgiler |
Potansiyel Müşteri, Müşteri, Ziyaretçi, Üçüncü Kişiler. |
Fiziksel mekân
güvenlik bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler (giriş çıkış logları, ziyaret bilgileri vb) | Şirket Hissedarı;Şirket Çalışanı, Şirket Yetkilisi; Şirket Müşterisi; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler. |
İşlem
güvenliği bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari yükümlülüklerin gerçekleştirilmesinin temini amaçları için işlenen kişisel verileriniz (internet sitesi şifre ve parola bilgileri gibi) | Şirket Hissedarı; Şirket Çalışanı; Şirket Yetkilisi; Şirket Müşterisi; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler. |
Risk yönetimi
bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel veriler. | Şirket Hissedarı;Şirket Çlaışanı; Şirket Yetkilisi; Şirket Müşterisi; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler. |
Finansal bilgi | Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan, kısmen |
Şirket Hissedarı;Şirket Çalışanı; Şirket Yetkilisi;
Şirket Müşterisi; Grup Şirket |
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Müşterinin her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin Müşterinin yetkilisi veya çalışanının kişisel verileri | Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler. | |
Özlük Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri | Şirket İş Ortağı, Şirket Çalışanı; İş Ortaklarının Yetkilisi, Çalışanı; Çalışan Adayı, Üçüncü Kişiler. |
Lokasyon
Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ilgili kişinin Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde Şirketin ürün ve hizmetlerinin kullanımı sırasında veya iş birliği içerisinde olduğumuz kurumların çalışanlarının Şirket araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler (GPS lokasyonu, seyahat verileri vb) | Şirket Hissedarları, Şirket Çalışanı;Yetkilileri, Çalışanları, İş Ortakları, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı |
Özel Nitelikli
Kişisel Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve | Şirket Hissedarı;Şirket Çalışanı; Şirket Yetkilisi; Şirket Müşterisi; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler. |
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini
içerir bilgiler |
Yönetmelik’in 6. maddesi gereğince Şirketimizde kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve KVK Kanunu kapsamındaki görev tanımlarına yer verilmiştir.
Kişisel Veri Saklama ve İmha Süreçlerinde Yer Alan Sorumlu Personel
Veri İşleyen Birimler | Görev | Sorumluluk |
İnsan Kaynakları Birimi /Personel Müdürlüğü | · Kişisel Verilerin Korunması Kanunu’na Uyum, Kişisel Veri Saklama ve İmha Politikasını uygulama sorumlusu | · Görevi dahilinde olan süreçlere ilişkin olarak, Kişisel Veri Saklama ve İmha Politikasına uygunluğun sağlanması ile periyodik imha sürelerine uygun olarak kişisel veri imha süreçlerini yönetmek |
Satın Alma Birimi | · Kişisel Veri Saklama ve İmha Politikasını uygulama sorumlusu | · Görevi dahilinde olan süreçlere ilişkin olarak, Kişisel Veri Saklama ve İmha Politikasına uygunluğun sağlanması ile periyodik imha sürelerine uygun olarak kişisel veri imha süreçlerini yönetmek |
Hukuk Birimi | · Kişisel Veri Saklama ve İmha Politikasını uygulama sorumlusu | · Görevi dahilinde olan süreçlere ilişkin olarak, Kişisel Veri Saklama ve İmha Politikasına uygunluğun sağlanması ile periyodik imha sürelerine uygun olarak kişisel veri imha süreçlerini yönetmek |
Bilişim Teknolojileri Birimi | · Kişisel Veri Saklama ve İmha Politikasını uygulama sorumlusu | · Görevi dahilinde olan süreçlere ilişkin olarak, Kişisel Veri Saklama ve İmha Politikasına uygunluğun sağlanması ile periyodik imha sürelerine uygun olarak kişisel veri imha süreçlerini yönetmek |
Finans ve Mali İşler Birimi | · Kişisel Veri Saklama ve İmha Politikasını uygulama sorumlusu | · Görevi dahilinde olan süreçlere ilişkin olarak, Kişisel Veri Saklama ve İmha Politikasına uygunluğun sağlanması ile periyodik imha sürelerine uygun olarak kişisel veri imha süreçlerini yönetmek |
Kişisel Veri Konusu Kişi Grubu
Kişi Grubu | Kişi Grubu Açıklaması |
Şirket, İş Ortakları Çalışanları, Stajyer | Şirketimiz çalışanları ile şirketimiz iştirak şirketlerinin ve şirketimizin iş ilişkisi içinde olduğu gerçek kişiler ile tüzel kişilerde çalışan hissedarlar ve yetkililer dahil olmak üzere tüm gerçek kişiler |
Çalışan Adayı, Stajyer Çalışan Adayı | Şirketimize herhangi bir şekilde iş başvurusunda bulunmuş veya özgeçmişini incelemeye sunmuş olan gerçek kişiler |
Şirket Ortakları | Şirket ortağı olan gerçek kişiler |
Şirket Müşterileri, Ürün veya Hizmet Alan Kişi | Şirketimizin sunduğu ürün ve hizmetlerden faydalanan gerçek kişiler |
Kuruluş Yetkilisi | İlgili kamu/özel kuruluşunda çalışan yetkili kimse |
Şirket Müşteri Adayları | Şirketimizin sunduğu ürün ve hizmetlerden faydalanma talebinde bulunmuş gerçek kişiler |
Ziyaretçi | Şirket bina ve tesisleri ile internet sitelerini ziyaret eden gerçek kişileri |
İştirak Şirketleri | Şirketin grup şirketlerini
|
İş Ortakları | Şirketin ticari faaliyetlerini yürütmek amacıyla iş ortaklığı kurduğu taraflar |
Hukuken Yetkili Kurum ve Kuruluşlar ve Özel Hukuk Tüzel Kişileri | İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge paylaşmak ile yükümlü olduğu hukuken yetkili kurum ve kuruluşlar ile özel hukuk tüzel kişileri |
Şirket Yetkilisi | Şirket yönetim kurulu üyesi ve diğer yetkili kişilerdir. |
Üçüncü Kişiler | Şirketimiz tarafından hizmet verilen hastanelere/entegre sağlık tesislerine tetkik, tedavi için müracaat edip ayaktan ya da yatarak tedavi gören kişi/hasta. |
Saklama Ve İmha Süreleri
İş Süreci | Saklama Süresi | İmha Süresi |
Özlük Prosedürü | 15 yıl | Saklama süresinin sona ermesini takiben 180 gün içinde |
İşe Alım Süreci | 2 yıl | Saklama süresinin sona ermesini takiben 180 gün içinde |
Eğitim Süreci | 15 yıl | Saklama süresinin sona ermesini takiben 180 gün içinde |
Maaş ve Avans Süreci | 15 yıl | Saklama süresinin sona ermesini takiben 180 gün içinde |
Hukuki Süreçler | 15 yıl | Saklama süresinin sona ermesini takiben 180 gün içinde
|
İnternet ve E-mail Erişim Süreci | 2 yıl | Saklama süresinin sona ermesini takiben 180 gün içinde
|
Bilgi Sistem Araçları Tahsis Süreci | 10 yıl | Saklama süresinin sona ermesini takiben 180 gün içinde |
İş İşleyişi ve Organizasyonu Süreci | 15 yıl | Saklama süresinin sona ermesini takiben 180 gün içinde |