BİLY KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1.AMAÇ ve KAPSAM
Kişisel verilerin korunması, BİLY için büyük hassasiyet arz etmektedir. Şirketimizce çeşitli Veri Sahiplerine ait toplamış olduğumuz Kişisel Verilerin saklanması ve imhasına ilişkin olarak verilerin ilgili işlendikleri amaç için gerekli olan azami saklama süresini belirlemek, silme, yok etme ve anonim hale getirme süreçlerini Veri Sahipleri için bilinir kılmak ve bu işlemlere ilişkin benimsediğimiz yöntemleri şeffaflıkla ortaya koymak için işbu Kişisel Veri Saklama Ve İmha Politikasını hazırlamış bulunmaktayız. Temel prensibimiz, kişisel verilerin işlenmesinde şeffaflığı sağlamaktır.
İşbu Politika, öncelikle 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve akabinde Kanuna uygun olarak yayımlanmış ikincil mevzuata uygun olarak hazırlanmıştır.
2.TANIMLAR
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve
özgür iradeyle açıklanan rıza
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri
sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki
ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmhaKişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesi
Kanun07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan
6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel VeriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin
her türlü bilgi
Kişisel Verilerin Anonim Hale GetirilmesiKişisel verilerin, başka
verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesi
Kişisel Veri EnvanteriŞirketimiz bünyesinde toplanan Kişisel Verilerin
hangi Veri Sahibi gruplarına ait olduğunu, süreç bazlı olarak gösteren
envanter
Kişisel Verilerin İşlenmesiKişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi
Kişisel Verilerin SilinmesiKişisel verilerin ilgili kullanıcılar için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi
Kişisel Verilerin Yok EdilmesiKişisel verilerin hiç kimse tarafından
hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale
getirilmesi işlemi
KurulKişisel Verileri Koruma Kurulu
KurumKişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel VeriKişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik veriler
Periyodik İmhaKanunda yer alan Kişisel Verilerin işlenme şartlarının
tamamının ortadan kalkması durumunda İşbu Politikada belirtilen ve
tekrar eden BİLY tarafından kendiliğinden gerçekleştirilecek silme, yok
etme veya anonim hale getirme işlemi
Politika Kişisel Veri Saklama ve İmha Politikası
Veri SahibiVoyage Easily Bilişim Hizmetleri Ticaret Limited Şirketi
ve/veya Şirkete bağlışirketleri/iştiraklerinin ticari ilişki içinde
bulunduğu çalışanları, müşterileri, yetkilileri, potansiyel
müşterileri, aday çalışanları, stajyerleri, ziyaretçileri,
tedarikçileri, işbirliği içinde çalıştığı kurumların çalışanları,
üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere diğer
kişiler gibi kişisel verisi işlenen / işlenebilecek olan gerçek kişi
Veri SorumlusuKişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan EDİN Teknoloji Anonim Şirketi (BİLY Olarak anılacaktır.)
3.TEMEL İLKELER
BİLY tarafından kişisel verilerin saklanması ve imhasında aşağıda yer
alan temel ilkeler benimsenmiştir:
1-Kanun’un 5. ve 6. maddelerinde yer alan Kişisel Verilerin işlenme
şartlarının tamamının ortadan kalkması halinde, Kişisel Veriler BİLY
tarafından resen veya Veri Sahibinin talebi üzerine silinmekte, yok
edilmekte veya anonim hale getirilmektedir. Veri Sahiplerince
yöneltilecek talebin tarafımıza ulaşması üzerine Şirketimiz:
a. Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa, talebe
konu Kişisel Verileri silmekte, yok etmekte veya anonim hale
getirmektedir. Bu surette Veri Sahibinin talebi en geç otuz (30) gün
içinde sonuçlandırılarak ve kendisine bilgi verilmektedir.
b. Kişisel Verileri işleme şartlarının tamamı ortadan kalkmamışsa,
tarafımıza yöneltilen talep, söz konusu durum hakkında gerekçeli
bilgilendirme yapılarak, Kanun’un 13. maddesinin üçüncü fıkrası
uyarınca reddedilmektedir. Böyle bir durumda red cevabımız Veri
Sahibine en geç otuz (30) gün içinde yazılı olarak ya da elektronik
ortamda bildirilmektedir.
c. Kişisel Verilerin işleme şartlarının tamamı ortadan kalkmış ve fakat
Veri Sahibinin talebine konu olan Kişisel Veriler üçüncü kişilerle
paylaşılmış ise, tarafımıza yöneltilen talep verilerin paylaşıldığı
üçüncü kişiye bildirilmekte ve üçüncü kişi tarafından bu Politika ve
mevzuat çerçevesinde gerekli işlemlerin yapılması talep edilmektedir.
2-Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi,
Kanun’un 4. maddesinde sayılan ilkeler ve 12.maddesi kapsamında
alınması gereken teknik ve idari tedbirler başta olmak üzere, ilgili
mevzuat hükümleri, Kurul kararları ve işbu Politika ile uyumlu olarak
icra edilmektedir. Bu kapsamda, Kanunun 4.maddesi uyarınca
1.Hukuka ve dürüstlük kurallarına uygunluk,
2.Doğruluk ve gerektiğinde güncellik,
3.Belirlilik, açıklık ve meşru amaçlar için işlenme,
4.İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
5.İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar muhafaza edilme
İlkeleri Şirketimiz için önceliklidir.
Kanun’un 12.maddesine paralel olarak da Şirketimiz:
a. Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek,
b. Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek,
c. Kişisel Verilerin muhafazasını sağlamak,
Amacıyla, uygun güvenlik düzeyini temin etmeye yönelik işbu Politikada
benimsenmiş olan teknik ve idari tedbirleri almaktadır.
3-Kişisel Verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle
ilgili yapılan tüm işlemler Şirketimiz tarafından kayıt altına
alınmakta ve söz konusu kayıtlar, Şirketimizin uyum göstermesi gereken
diğer hukuki yükümlülükleri hariç olmak üzere, en az 1(bir) ay süreyle
saklanmaktadır.
4-Kurul tarafından aksine bir karar alınmadıkça, Kişisel Verileri resen
silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı
tarafımızca seçilmektedir. Ancak, Veri Sahibinin talebi halinde, uygun
yöntem gerekçesi açıklanarak seçilecek veya neden seçilemediğine
ilişkin olarak Veri Sahibine gerekli geri bilgilendirme yapılacaktır.
4.KAYIT ORTAMLARIMIZ
BİLY, Kişisel Verilerin mahremiyetiyle ilgili olarak mevzuatta
düzenlenen genel ilkeler ve uluslararası prensipler ışığında topladığı
Kişisel Verileri
Elektronik Kayıt Ortamı olan Amazon.com serverlarında yüksek güvenlikli
olarak saklamaktadır.
5.SAKLAMAYI VE İMHAYI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER
Şirketimizin topladığı Kişisel Veriler, Kanun’un 5. ve 6. maddelerinde
belirtilen kişisel veri işleme şartlarından birine veya birkaçına
dayalı olarak saklanmakta ve Kanun’un 7. maddesine uygun olarak
işlenmektedir. Bu kapsamda, Kişisel Verilerin işlenmesi için belirtilen
şartların geçerliliği süresince Kişisel Veriler saklanmakta, söz konusu
işleme şartları sona erdiğinde veya Veri Sahibinin tarafımıza başvurusu
üzerine (Şirket’in riayet etmesi gereken diğer hukuki yükümlülükleri
kontrol edildikten sonra) talep üzerine saklanmakta olan Kişisel
Veriler silinmekte, imha edilmekte veya anonim hale getirilmektedir. Bu
çerçevede özellikle:
•İşlemeye esas mevzuatın değişmesi veya ilgası,
•İşlemeye esas sözleşmenin sona ermesi veya hükümsüzlüğü,
•İşlenme amaçlarının ve şartlarının ortadan kalkması,
•Açık rızaya bağlı işleme faaliyetlerinde rızanın geri alınması,
•Veri Sahibinin başvuruda bulunması ve bu başvurunun kabulü,
•Veri Sahibinin başvuruda bulunması ve bu başvurunun reddi neticesinde
Kişisel Verileri Koruma Kurulu tarafından verilecek talebin
karşılanması gerektiğine ilişkin karar,
•Saklama süresinin sona ermesi,
•Şirket bünyesinde gerçekleştirilen periyodik imha işlemleri,
Neticesinde BİLY topladığı Kişisel Verileri silmekte, imha etmekte veya
anonim hale getirmektedir.
6.TEKNİK ve İDARİ TEDBİRLER
Şirketimiz, sakladığı ve işlediği Kişisel Verilerin güvenli bir şekilde
saklanması, hukuka aykırı olarak işlenmesinin veya erişilmesinin
önlenmesi ve bu verilerin hukuka uygun olarak silinmesi ve/veya imha
edilmesi amacıyla Kanun’un 12. Maddesindeki ilkeler ve Yönetmelik
çerçevesinde gerekli olan teknik ve idari tedbirleri almıştır. Ayrıca
Kişisel Verilerin saklanması ve işlenmesi için gerekli olan hukuki,
teknik veya diğer sebeplerin ortadan kalkması halinde de, ilgili süreç
titizlikle denetlenmekte ve buna bağlı olarak silme, imha veya anonim
hale getirme işlemleri, aynı teknik ve idari tedbirler çerçevesinde
gerçekleştirilmektedir.
Bu kapsamda, Şirketimiz tarafından korunacak verinin niteliği,
teknolojik imkânlar ve uygulama maliyetine göre alınmış olan teknik ve
idari tedbirler şu şekildedir:
İdari Tedbirler
1. Şirket bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler
iş birimleri bazında analiz edilmiş olup, bu kapsamda veri sahibi
kategorileri ve süreç bazlı işleme esasına dayalı “Kişisel Veri
Envanteri” hazırlanmıştır. İşbu envanter ile, BİLY iş süreçlerine bağlı
olarak gerçekleştirmekte olduğumuz Kişisel Verileri işleme
faaliyetlerimiz, Kişisel Verileri işleme amaçlarımız, veri
kategorilerimiz, aktarılan alıcı gruplarımız, veri konusu kişi
gruplarımız, veri işlemede yetkili birimlerimiz ve verilerin
işlendikleri amaçlar için gerekli olan azami süreler gibi konularda
gerekli detaylandırma yapılmıştır.
2. Şirketimiz tarafından toplanmış olan Kişisel Verilerin
saklanmasında, iş tanımı gereği erişmesi gerekli olan personel ve
erişim amacı ile sınırlı erişim esası benimsenmiştir. Bu çerçevede,
erişimin sınırlandırılmasında saklanmakta olan Kişisel Verinin genel
veya özel nitelikli olup olmadığı da ayrıca dikkate alınmaktadır.
3. Şirketimiz çalışanları ile, öğrendikleri kişisel verileri Kanun ve
ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamayacakları ve
işleme amacı dışında kullanamayacakları konusunda gizlilik sözleşmesi
imzalamaktadır. Bu gizlilik sözleşmesi iş ilişkisinin sona ermesinden
sonra da devam etmektedir.
4. İşlenen Kişisel Verilerin hukuka aykırı yollarla üçüncü kişiler
tarafından ele geçirilmesi hâlinde, bu durum en kısa sürede Kişisel
Verilerin Korunması Kurulu’na bildirilmektedir.
5. Kişisel Verilerin paylaşılması ile ilgili olarak, çalışanlarımız, iş
ortaklarımız, tedarikçilerimiz ve müşterilerimiz ile aramızdaki hukuki
ilişkiyi yöneten sözleşmelere veya belgelere, paylaşılan kişisel
verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine
ilişkin “kişisel verilerin korunması ve veri güvenliğine” hakkında ya
ilave hükümler eklenmekte veya bu konuları içeren çerçeve sözleşmeler
imzalanmakta, bu surette veri güvenliğini sağlamaktadır.
6. Şirketimiz, Kişisel Verilerin işlenmesi hakkında ilgili
birimlerindeki erişim yetkisi tanımlanmış personeli gerekli hukuki ve
teknik bilgi ile donatmakta, bu kapsamda personeline kişisel verilerin
korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri
vermektedir.
7. Şirketimiz, tüzel kişiliği nezdinde Kanun hükümleri ve veri
güvenliğine ilişkin politikalarının uygulanmasını sağlamak amacıyla
gerekli denetimleri yapmakta ve yaptırmaktadır. Denetimler sonucunda
ortaya çıkan gizlilik ve güvenlik zafiyetlerini en kısa süre içinde
giderilmektedir.
Teknik Tedbirler
1. Şirketimizin içinde veri güvenliği amacıyla kurulmuş olan sistemleri
ve bu sistemler çerçevesinde gerçekleştirilen işleme, silme, imha etme
veya anonim hale getirme işlemlerine ilişkin olarak gerekli iç
kontroller düzenli olarak yapılmaktadır.
2. Kurulmuş olan sistemler kapsamında bilgi teknolojileri boyutundaki
risk değerlendirmesi ve gerekli analizlerin gerçekleştirilmesi
süreçleri yürütülmektedir.
3. Kişisel Verilerin Şirketimizin dışına sızmasını engelleyecek veya
gözlemleyecek teknik altyapının temin edilmesini ve ilgili teknik alt
yapıların oluşturulması sağlanmaktadır.
4. Saklanan ve işlenen Kişisel Verilerin, ilgili mevzuata ve Şirket
politikalarına uyumlu olarak muhafaza edilip edilmediğinin tespiti
amacıyla, periyodik olarak veya gerek görülmesi halinde sızma testi
hizmeti alınmakta ve böylece sistem zafiyetlerinin olup olmadığının
kontrolü sağlanmaktadır.
5. Şirket içinde erişim yetkisi verilen birim personelinin ve bu
kapsamda özellikle bilgi teknolojileri birimi personelinin kişisel
verilere erişim yetkilerinin kontrol altında tutulması sağlanmaktadır.
6. Kişisel Verilerin güvenli bir biçimde saklanmasını sağlamak için
hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
7. Kişisel Verilerin saklandığı her türlü elektronik ortam, bilgi
güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik
yöntemler ile korunmaktadır. Bu kapsamda, Kişisel Veriler ortak
alanlarda ve çalışanların kullandığı bilgisayarların masaüstünde
saklanmamaktadır. Kişisel Verilerin yer aldığı dosya ve klasörler ile
fiziki belgeler bilgisayarların masaüstlerine veya ortak klasörlere
yahut herkesin erişimine açık alanlara taşınmamakta; BİLY Yönetim
Kurulu’nun yazılı talimatı alınmadan Şirket bilgisayarlarındaki
bilgiler USB vb. başka bir aygıta aktarılamamakta, Şirketin dışına
çıkartılamamaktadır.
7.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ USULLERİ
BİLY, topladığı Kişisel Verileri, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde kendiliğinden veya Veri Sahibinin talebi
üzerine silmekte, yok etmekte veya anonim hale getirmektedir. Kanun’un
28. maddesine uyarınca ise, anonim hale getirilmiş olan kişisel veriler
araştırma, planlama ve istatistik gibi amaçlarla işlenebilmektedir.
Anonimleştirme sonrasında gerçekleştirilen bu tür işlemeler Kanun
kapsamı dışında olup, bu durumda kişisel Veri Sahibinin açık rızası
aranmamaktadır.
Bu çerçevede, Şirketimiz tarafından, aşağıda belirtilen silme, imha
etme veya anonim hale getirme usullerinden biri veya birkaçı seçilerek,
amaca en uygun yöntem izlenmektedir:
Yazılımdan Güvenli Olarak Silme:
Dijital ortamlarda muhafaza edilen Kişisel Veriler, İlgili Kullanıcılar
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek
biçimde ilgili yazılımdan silinmektedir.
Kullandığımız elektronik kayıt ortamlarına silme komutu verilerek
verilerin silinmesi, merkezi sunucuda yer alan dosyalara veya
dosyaların bulunduğu dizin üzerinde İlgili Kullanıcıların erişim
haklarının kaldırılması; veri tabanlarında ilgili satırların veri
tabanı komutları ile silinmesi veya taşınabilir medyada (USB, HDD, vb.)
bulunan Kişisel Verilerin uygun yazılımlar kullanılarak silinmesi
suretiyle veriler silinebilmektedir.
Ancak, bazı Kişisel Verilerin silinmesi sebebiyle diğer bir kısım
verilere de sistemde erişimin mümkün olmadığı hallerde, silmeye konu
Kişisel Veriler ilgili Veri Sahibi ile ilişkilendirilemeyecek duruma
getirilerek arşivlenebilmektedir; bu durumda da ilgili Kişisel Veriler
silinmiş sayılmaktadır. Böyle durumlarda Şirketimiz, Kişisel Verilere
yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde
gerekli her türlü teknik ve idari tedbiri almaktadır.
Üzerine Yazma:
Şirketimizde kullanılan manyetik medya ve yeniden yazılabilir optik medya, özel yazılımlar aracılığı ile rastgele sayısal veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesi imkanını ortadan kaldıran bir veri yok etme yöntemidir. Üzerinde Kişisel Veri bulunan herhangi bir yeniden kullanılabilir manyetik medya, üzerine yazma yöntemi kullanılarak, içindeki veri geri dönüştürülemez şekilde temizlenmektedir.
Maskeleme:
Maskeleme yöntemiyle, Kişisel Verilerin belli alanları üstleri çizilerek, boyanarak ve/veya yıldızlama yöntemi ile Veri Sahibi olan gerçek kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, Şirketimiz bünyesinde yer alan müşteriye ait bir kimlik verisi, veri tabanımızdan çıkartılarak, Veri Sahibinin tanımlanması imkânsız hale getirilmektedir.
Genelleştirme:
Kişisel Verilerin genelleştirilmesi yöntemi, Şirketimizde, ver
tabanında mevcut birçok verinin toplulaştırılarak herhangi bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesi ve böylece Şirketimizin
Veri Sahiplerine bağlı ama bir takım sonuçları herhangi bir Kişisel
Veri saklamaksızın takip edebilmesini sağlamak amacıyla
kullanılmaktadır. Bu sayede, örneğin, iş akdi sona ermiş
çalışanlarımızın doğum tarihleri ve kimlik bilgileri gösterilmeksizin,
hangi yıl aralığında, hangi pozisyonlarda, hangi yaş aralığında
istihdamın daha verimli olduğu sonuçları takip edilebilmektedir.
8.YÜRÜRLÜK ve UYGULAMA
Politikanın tamamının veya belirli maddelerinin güncellenmesi durumunda güncellemeler yayımlandıkları tarihte yürürlüğe girer. Politika en güncel hali ileBİLY Uygulamamızda yayınlanmaktadır. İşbu Politika ve diğer politikalarımız, BİLY Yönetim Kurulu marifetiyle yürütülmektedir. İşbu Politika ile Kanun veya ilgili mevzuat arasında çelişki olması halinde, öncelikle Kanun ve ilgili diğer mevzuat hükümleri uygulanacaktır.
Saygılarımızla.
EDİN Teknoloji Anonim Şirketi
Vergi No : 3240866041
İletişim Bilgileri
Adres : Via Flat İş Merkezi
Nergiz Sokak 7-2 Kat: 3 No: 87
Beştepe - Ankara
E-mail: bily@edin.com.tr