|
|
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI |
|
|
|
|
|
|
|
Doküman No: POL.03 Yayın Tarihi: 30.09.2020 Revizyon No: 00 Revizyon Tarihi: - |
|
|
|
|
|
|
|
Mespa olarak; müşterilerinin, potansiyel müşterilerinin, tedarikçilerinin, ziyaretçilerinin, çalışanlarının, çalışan adaylarının, hukuki veya ticari ilişki ve/veya iş birliği içinde olduğu diğer kişi, kurum ve kuruluşlar ile bunların çalışanlarının, iş ortaklarının, hissedarlarının ve yetkililerinin kişisel verilerinin gizliliği ve güvenliği önemsemekteyiz. İşbu Kişisel Verileri Saklama ve İmha Politikası’ nın “Politika” temel amacı, yukarıda sayılan kişiler başta olmak üzere, kişisel verileri Mespa tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamak ve Mespa tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemektir.
Mespa, verilerini işlemekte olduğu kişilere ait kişisel verilerin T.C Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu “Kanun” ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Mespa tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.
Mespa çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, tedarikçiler müşteri adayları ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup, Mespa tarafından kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Kişisel Verilerin Korunması Kanunu kapsamında, Mespa kendi iş ve çalışmaları özelinde, bizzat “veri sorumlusu”dur. Politika Mespa’ nın internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
|
|
Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya üzel kişi kategorisi. |
|
|
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Silme |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
|
|
Yok Etme |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
|
|
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
|
|
Çalışan |
Mespa personeli. |
|
|
Çalışan Adayı |
Mespa’ya iş fırsatları için başvuran, referans çalışanlar aracılığı ile özgeçmişini ileten veya MESPA tarafından açık pozisyonlarda değerlendirilmek üzere kariyer web sitelerinden/online sistemlerinden bilgisi edinilen kişiler. |
|
|
Veri ihlalleri |
Kişisel verilerin kanuna aykırı şekilde ele geçirilmesi, toplanması, değiştirilmesi, kopyalanması, dağıtılması veya kullanılmasına dair haklı şüphelerin olduğu olaylardır. |
|
|
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
|
|
Elektronik Olmayan Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
|
|
Tedarikçi |
Mespa’ ya belirli bir sözleşme çerçevesinde hizmet veya mal sağlayan gerçek veya tüzel kişi ve kurumlar. Tüzel kişi tedarikçilerle olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır. |
|
|
Müşteri |
Mespa’dan mal veya hizmet alan gerçek veya tüzel kişi ve kurumlar. Tüzel kişi müşterilerle olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır. |
|
|
Müşteri Adayı |
Mespa’dan mal veya hizmet alması potansiyel öngörülen gerçek veya tüzel kişi ve kurumlar. Tüzel kişi müşteri adaylarıyla olan ilişkilerde, verilerin saklanması ve imhası faaliyetinde, bunların yetkilileri, ortakları, çalışanları ve her ne nam altında olursa olsun temsilcilerinin kişisel verileri bu Politika kapsamındadır. |
|
|
İlgili Kişi |
Kişisel verileri işlenen kişi. |
|
|
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
|
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
|
|
Kanun |
6698 Sayılı Kişisel Verilerin Korunması Kanunu |
|
|
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
|
|
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
|
|
Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
|
|
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
|
KVK Kurulu |
Kişisel Verileri Koruma Kurulu |
|
|
KVK Kurumu |
Kişisel Verileri Koruma Kurumu |
|
|
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı,ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
|
|
Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’se gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
|
|
Politika |
Kişisel Verileri Saklama ve İmha Politikası. |
|
|
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
|
|
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
|
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yöneltilmesinden sorumlu gerçek veya tüzel kişi. |
|
|
Kişisel Verilerin Korunması Birimi |
Kişisel Verilerin Korunması hakkında mevzuata, idari kararlara, yargı kararlarına ve başta işbu Politika olmak üzere iş yeri iç düzenlemelerine tam bir uyumla hareket edilmesi amacıyla, Mespa tarafından kurulan şirket içi sorumlu birim. |
|
|
Vergi Sorumluları Sicil Bilgi Sistemi |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurum tarafından oluşturulan ve yönetilen bilişim sistemi. |
|
|
VERBİS |
Veri Sorumluları Sicil Bilgi Sistemi |
|
|
Yönetmelik |
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi,Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
3.1. Kişisel Verilerin Korunması Birimi
Mespa tarafından, Kişisel Verilerin Korunması hakkında mevzuata, idari kararlara, yargı kararlarına ve başta işbu Politika olmak üzere iş yeri iç düzenlemelerine tam bir uyumla hareket edilmesi amacıyla, Kişisel Verilerin Korunması Birimi “Birim” kurulmuştur. Mespa yönetimi; Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesinin ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında Birim’e ve diğer sorumlu birimlere aktif olarak destek verir.
Kişisel Verilerin Korunması Birimi, Politika’ nın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. Birim, kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri takibi, düzenleyici işlemler ve kararların takibi, mahkeme kararları veya süreçlerin takibi, uygulama ve sistemlerdeki değişiklikler sonucu ilgili iş birimlerinin takip edilmesi ve gerekiyorsa iş süreçlerinin güncellemelerinin yapılması sağlar. Politika, Genel Müdür önderliğinde, Birim tarafından takip edilir, yürütümü sağlanır ve güncellenir.
3.2. Veri İşleyenlerin Sorumluluğu
Kişisel verilerin Mespa adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu olarak Mespa ile veri işleyen kişiler, veri güvenliğine yönelik tedbirlerin alınması konusunda idari makamlara ve ilgili kişilere karşı Kanunen müştereken sorumlu olurlar. Mespa, veri sorumlusu olarak, kendisi ile kişisel verilerini paylaşan ilgili kişilere sağladıkları güvenin; iş ortakları, tedarikçi ve yüklenicileri tarafından da aynı şekilde sürdürülmesinin sağlanması için periyodik olarak, veri işleyenlerin Kişisel Verilerin Korunması mevzuatı, idari kararlar ve Yargı kararlarına uyumunu denetleyecektir.
3.3. Politikanın Yürürlüğe Sokulması
Politika, Mespa internet sitesinde yayınlanmasının ve/veya tüm çalışanlara duyurulmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Genel Müdür onayı ile KYS Birimi tarafından iptal edilir (iptal kaşesi vurularak veya iptal yazılarak) ve en az 3 yıl süre ile saklanır.
Politika, yürürlüğü itibariyle tüm iş birimleri, dış hizmet sağlayıcıları (danışmanlar, tedarikçiler, alt işverenler vb) ve kişisel veri işleyen herkes için bağlayıcı olacaktır. Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu ilgili çalışanın amiri tarafından vakit kaybetmeksizin ve en geç 24 saat içinde Kişisel Verileri Korunması Birimi’ ne bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
3.4. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımları
|
|
Personel |
Görev |
|
Sorumluluk |
|
|
|
|
Genel Müdür |
Kişisel veri saklama ve imha politikası çalışmalarının başlatılması ve yürütülmesi sorumlusu |
|
Kişisel verilerin korunması çalışmalarının yürütülmesinden, sistem kurulmasından, çalışanların ve iş ortaklarımızın politikaya uygun hareket etmesinden sorumludur. |
|
|
|
|
Mali İşler Müdürü |
Mali İşler Departmanı Kişisel veri saklama ve imha politikası uygulama sorumlusu |
|
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur. |
|
|
|
|
İdari İşler Müdürü |
İdari İşler Departmanı Veri Sorumlusu |
|
Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur. |
|
|
|
|
Kalite Yönetim Sistemi Sorumlusu |
Kalite Yönetim Sistemi Departmanı Kişisel veri saklama ve imha politikası hazırlanması sorumlusu |
|
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
|
|
|
|
İnsan Kaynakları Sorumlusu |
İnsan Kaynakları ve Personel Birimi Departmanı Kişisel veri saklama ve imha politikası uygulama sorumlusu |
|
İrtibat kişisi olarak görev ve sorumluluklarını yerine getirmekten, görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur. |
|
|
|
|
Bilgi İşlem Sorumlusu |
Bilgi İşlem Birimi Departmanı Kişisel veri saklama ve imha politikası uygulama sorumlusu |
|
Politikanın bilgi işlem birimi çalışmalarında yürütülmesinden, uygulamadan, görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminin yapılması, ihtiyaç duyulan teknik çözümlerin sunulmasından ve gerekli yatırımların sağlanması için yönetimin bilgilendirilmesinden, elektronik kayıt ortamlarında gerçekleştirilen silme, yok etme, anonimleştirme işlemleri bakımından yürütüm ve iç denetimlerden sorumludur. |
|
|
|
Şirket Avukatı |
Kişisel veri saklama ve imha politikası uygulama sorumlusu |
Politikaya uygun çalışanlarımız, ürün - hizmet sağlıyıcılarımız ve iş ortaklarımızla yapılacak sözleşmeleri hazırlamaktan , KVKK çalışmalarının iç denetimini yapmaktan ve yaşanacak hukuki süreçlerin takibini yapmaktan görevi dahilinde olan süreçlerin |
saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.
Kişisel veriler, Mespa tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik Ortamlar
Elektronik Olmayan Ortamlar
Mespa tarafından; müşteri, müşteri adayı, tedarikçi, alt işveren, çalışan, çalışan adayı, ziyaretçi verileri ile kurum veya kuruluşların çalışanlarına ait kişisel veriler kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
5.1. Saklamaya İlişkin Açıklamalar
Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
5.1.1. Saklamayı Gerektiren Hukuki Sebepler
Mespa’da ticari faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Kanunlarda böyle bir süre öngörülmemişse, ilgili veri işleme süreci ve bu süreçte işlenen verinin olası ihtilaflarda delil vasfı da göz önüne alınarak ‐ zaman aşımı def’inin ileri sürülmesi gereken bir hak olması nedeniyle‐ kanuni zamanaşımı süresi kadar muhafaza edilir. Bu kapsamda kişisel veriler;
Bu Kanunlar Uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri veya ilgili sürecin ihtilafa konu olması muhtemelse azami olarak ilgili kanundaki zaman aşımı süresi kadar saklanmaktadır. Herhangi bir ihtilafa konu olması mümkün görülmeyen süreçlerde ise Mespa tarafından makul süre Veri Sorumluları Sicili Hakkında Yönetmelik, Kurul kararları ve rehberleri ışığında belirlenmektedir.
5.1.2. Saklamayı Gerektiren İşleme Amaçları
Mespa tarafından kişisel veriler;
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
5.2. İmhayı Gerektiren Sebepler
Kişisel veriler;
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Mespa tarafından teknik ve idari tedbirler alınır.
6.1. Teknik Tedbirler
Mespa tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur. Erişim loğları düzenli olarak tutulmaktadır. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. Güncel anti‐virüs sistemleri kullanılmaktadır. Güvenlik duvarları kullanılmaktadır. Kişisel veri içeren ortamların güvenliği sağlanmaktadır. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. İso 27001 belgesi mevcuttur ve periyodik denetimleri yapılmaktadır. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. Saldırı tespit ve önleme sistemleri kullanılmaktadır. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. Şifreleme yapılmaktadır. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
6.2. İdari Tedbirler
Mespa tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır;
Çalışanlarla ve dış ilişkide olunan kişilerle gizlilik taahhütnameleri yapılmaktadır. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. Gizlilik taahhütleri yapılmaktadır. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. Kişisel veriler mümkün olduğunca azaltılmaktadır. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. Kişisel veri işleme envanteri hazırlanmıştır. Kurum içi periyodik denetimler yapılmaktadır. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. İlgili kişilerin aydınlatma yükümlülüğü yerine getirilmektedir. İlgili kişilerin aydınlatma yükümlülüğü yerine getirilmektedir.
Mevcut risk ve tehditler belirlenmiştir. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, M espatarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
7.1. Kişisel Verilerin Silinmesi
Kişisel veriler aşağıdaki yöntemlerle silinir:
|
|
|
Veri Kayıt Ortamı |
|
|
Açıklama |
|
|
|
|
|
|
Sunucularda Yer Alan Kişisel Veriler |
|
|
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
|
|
|
|
|
|
Hizmet Olarak Uygulama Türü Bulut Çözümleri(Office 365 gibi) |
|
|
Bulut sisteminde verileri silme komutu vererek silinir. Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edilecektir. |
|
|
|
|
|
|
Elektronik Ortamda Yer Alan Kişisel Veriler |
|
|
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, bilgi işlem sorumlusu hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
|
|
|
|
|
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
|
|
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için birim sorumluları hariç diğer çalışanlar için hiçbir şekilde erişilemez. Tekrar kullanılamaz hale getirilir. (üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.) |
|
|
|
|
|
|
Taşınabilir Medyada Bulunan Kişisel Veriler |
|
|
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, bilgi işlem sorumlusu tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
|
|
|
|
7.2. |
Kişisel Verilerin Yok Edilmesi |
|
|
Kişisel veriler, MESPA tarafından aşağıda verilen yöntemlerle yok edilir: |
||
|
Veri Kayıt Ortamı |
Açıklama |
|
|
|
|
|
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde veya arşiv alanlarında yakılarak geri dönülemeyecek şekilde yok edilir. |
|
|
Optik/Manyetik Medyada Yer Alan Kişisel Veriler |
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi vb. fiziksel olarak yok edilmesi işlemi uygulanır. De-manyetize etme; manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. Üzerine yazma; Manyetik medya ve yeniden yazabilir optik medya üzerine en az yedi kez 0 ve 1 ‘lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir. |
|
|
Bulut Ortamında Tutulan Kişisel Veriler |
Bulut ortamında tutulan kişisel veriler bir daha kurtarılmayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
|
7.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilen başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
8.1. Genel Esaslar
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde, Veri kategorileri bazında saklama süreleri VERBİS sistemi içerisinde süreler kısmında, Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikası içerisinde yer alır.
8.2. İlgili Kişinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi ve Silme‐Yok Etme Süreleri
İlgili kişi, Kanunun uygulanmasıyla ilgili taleplerini FRM.147 Kişisel Veri Sahibi Başvuru Formu kullanmak suretiyle yazılı olarak İK ve Personel Birimi Sorumlusuna veya 2.Organize Sanayi Bölgesi 83216 Cad. No:20 Şehitkâmil adresine noter kanalıyla, Şirketimiz kayıtlı elektronik posta adresine (mespa@mespa.com.tr) güvenli elektronik imza ile, Tarafınızca Şirketimize daha önce bildirilen ve sisteminde kayıtlı bulunan E-posta ile kvkk@mespa.com.tr adresine iletebilir.
Mespa, talebi kabul eder veya gerekçesini açıklayarak reddeder. Konu ile ilgili cevap ilgili kişiye en geç 30 gün içerisinde iletilir. Başvuruda yer alan talebin kabul edilmesi hâlinde Mespa tarafından gereği yerine getirilir.
İlgili kişi, işbu Politika’da Mespa’ ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Mespa, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Yönetmeliğin 11 inci maddesi gereğince periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Mespa’ da her yıl Ocak ve Haziran ayları içerisinde periyodik imha işlemi gerçekleştirilir.
8.3. Saklama Süreleri Sona Eren Kişisel Veriler İçin Gerçekleştirilecek İşlemler
Kağıt ortamındaki re’sen silme, yok etme veya anonim hale getirme işlemi ilgili Birimin Sorumlusu tarafından kontrolleri yapılan evraklar İK ve Personel Birimi Sorumlusu kontrolünde tutanakla kayıt altına alınmak suretiyle gerçekleştirilir.
Elektronik ortamdaki re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem Sorumlusu tarafından (sunucular, yedekler, yazılımlar, yazıcılar vb. ana veri tabanlarında), söz konusu işlem kayıt altına alınmak sureti ile gerçekleştirilir.
Şirket bilgisayar, telefon, e‐ mail hesabı, tablet vb. ortamda silme, yok etme veya anonim hale getirme işlemi ilgili birimin Sorumlusunun ön bilgisine sunulmak kaydı ile ilgili veri Bilgi İşlem Sorumlusu tarafından yerine getirilir. Çalışanlar, iş için kendisine tahsis edilen bu elektronik ortamlarda gerçekleştirecekleri silme, yok etme işlemlerini envantere uygun şekilde süresinde re’sen gerçekleştirmekle, saklama süresinin dolmasından önce gerçekleşen veri imha sebeplerinde ise Birimin konuyu bildirmek ve gelecek cevaba uygun şekilde işlemleri gerçekleştirmekle bizzat sorumludur. Bilgi İşlem Sorumlusu elektronik ortamdaki bu silme yok etme anonimleştirme işlemlerinin kayıt altına alınması için gerekli teknik donanımı çalışana sağlamakla yükümlüdür.
8.4. SÜREÇ BAZINDA SAKLAMA VE İMHA SÜRELERİ TABLOSU
|
|
SÜREÇ |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
|
|
|
|
Genel Kurul ve Yönetim Kurulu İşlemleri |
10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
|
|
Sözleşmeler |
Sözleşmenin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Müşteri İşlemleri |
10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Kurumsal İletişim Faaliyetleri İcrası |
Faaliyetin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Finans ve Muhasebe Faaliyetlerinin Yürütülmesi |
10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
İnsan Kaynakları ve Personel Faaliyetlerinin Yürütülmesi |
Faaliyetin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Sağlık Raporları |
İş akdi sonlanmasından itibaren 15 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Log Kayıt Takip sistemleri |
2 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi |
2 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Ziyaretçi kayıtları |
1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Toplantı Kayıtları |
3 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Kamera kayıtları |
2 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|||
|
Organizasyon ve etkinlik fotoğrafları |
Süresiz |
||||
|
Hukuki İşlemler |
Hukuki süreç bitiminden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |||
|
Risk Yönetimi |
4 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |||
|
Posta‐ Kargo İşlem Kayıtları |
1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |||
|
Eğitim Kayıtları ve Belgeleri |
Formlar 3 yıl, Belgeler 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde | |||
Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, web sitesinde kamuya açıklanır. Basılı kağıt nüshası da Kalite Yönetim Sistemi Sorumlusu tarafından dosyasında saklanır.
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.