BOROVALI SİGORTA ARACILIK HİZMETLERİ LTD. ŞTİ.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında Borovalı Otomotiv Sanayi ve Ticaret A.Ş.’nin (Bundan sonra “Şirket” olarak adlandırılacaktır) kişisel ve şirket verilerinin, tamamen veya kısmen sistematik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla işlenen verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kuralların belirlenmesini amaçlamaktadır.
Politika, Şirket nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri, tüm Şirket çalışanlarını, yöneticilerini, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, dış hizmeti sağlayıcılarını, çalışan adaylarını, ziyaretçileri ve Şirket’in sair hukuki ilişkiye girdiği gerçek ve tüzel kişileri kapsamaktadır.
Politika Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır.
Kişisel Veri : Gerçek kişinin tanımlanmasını sağlayan her türlü veri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
1
De-manyetize etme: Manyetik medyanın özel bir cihaz kullanılarak manyetik alana maruz bırakılarak verilerin okunamaz şekilde bozulmasını,
Fiziksel Yok Etme: Ortamların, kırpıcı, öğütücü gibi cihazlar kullanılarak toz haline getirilmesini,
Üzerine Yazma: Üzerine yeniden yazılabilir ortamların üzerine özel yazılımlar kullanılarak en az 8-9 kez rastgele verilerin yazılarak eski verinin kurtarılamaz hale getirilmesini ifade eder.
Tüm şirket çalışanları bu politikada belirtilen teknik ve idari tedbirlerin uygulanması konusunda gerekli özen ve hassasiyeti gösterir ve ilgili sorumlulara destek verir.
Unvan |
Görev |
KVKK Birim Sorumluları |
Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur |
KVK Komitesi |
Politikanın onaylanması ve çalışanların politikaya uygun hareket etmesinden sorumludur. |
Bilgi Teknolojileri Departmanı |
Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur |
Personel |
Politikaya uygun hareket etmekten sorumludur. |
4.1.1. Saklama Sorumluluğu Departman Yöneticileri :
Kendi birimlerine ait basılı dokümanların fiziksel olarak gerekli güvenlik önlemleri alınarak saklanmasından sorumludur.
Arşiv Sorumlusu:
Arşive kaldırılması gereken doküman ve kayıtların düzenli olarak arşivlenmesi, doküman envanteri tutulması ve fiziksel olarak gerekli güvenlik önlemleri alınarak saklanmasından sorumludur.
Bilgi Teknolojileri Müdürü/ Yöneticisi:
Şirketin tüm kurumsal uygulama ve dosya sistemleri üzerindeki verilerin tüm altyapı ve sistemsel güvenliği sağlanarak ilgili saklama ortamlarında saklamak, periyodik olarak yedeklerini almaktan sorumludur.
İmha edilecek ortamların güvenli şekilde imha edilebilmesi için, imha yöntemlerine ilişkin güvenli tekniklerin belirlenmesi aşamasında yönlendirme sağlanmasından sorumludur.
Periyodik imha dönemlerinde, sorumluluğunda bulunan departmanlarda imha edilmesi gereken şirket ve kişisel verilerin takibini yapmak ve imha sürecine dahil olmasını sağlamaktan sorumludur.
Ortamların güvenli bir şekilde imha edilebilmesi için imha yöntem ve tekniklerinin belirlenmesinden, uygulamaya geçilmesinden ve ortamların imha edilmesi için onay verilmesinden sorumludur.
Kurumsal bilgiler ve kişisel verilerin bulunduğu ortamlar aşağıda bulunan ortamlar üzerinde kayıt altına alınmaktadır.
Kişisel verilerin saklama süreleri, kullanım amacına göre değişiklik göstermektedir. Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler aşağıdaki kanun, yönetmelik ve ilgili yasal mevzuat çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır:
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:
Bilgi Güvenliği Süreçlerinin Yürütülmesi, Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi, Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi, Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi, Denetim / Etik Faaliyetlerinin Yürütülmesi, Eğitim Faaliyetlerinin Yürütülmesi, Erişim Yetkilerinin Yürütülmesi, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Finans Ve Muhasebe İşlerinin Yürütülmesi, Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini, Görevlendirme Süreçlerinin Yürütülmesi, Hukuk İşlerinin Takibi Ve Yürütülmesi, İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi / Denetimi, İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi, İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi, İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi, Lojistik Faaliyetlerinin Yürütülmesi, Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi, Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi, Mal / Hizmet Satış Süreçlerinin Yürütülmesi, Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi, Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi, Organizasyon Ve Etkinlik Yönetimi, Pazarlama Analiz Çalışmalarının Yürütülmesi, Performans Değerlendirme Süreçlerinin Yürütülmesi, Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi, Risk Yönetimi Süreçlerinin Yürütülmesi, Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi, Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi, Sponsorluk Faaliyetlerinin Yürütülmesi, Stratejik Planlama Faaliyetlerinin Yürütülmesi, Talep / Şikayetlerin Takibi, Taşınır Mal Ve Kaynakların Güvenliğinin Temini, Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi, Ücret Politikasının Yürütülmesi, Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini, Yabancı Personel Çalışma Ve Oturma İzni İşlemleri, Yatırım Süreçlerinin Yürütülmesi, Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,
Yönetim Faaliyetlerinin Yürütülmesi, Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi Acil Durum Yönetimi Süreçlerinin Yürütülmesi
5.2. Kişisel veriler;
durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin imha edilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur. Saklama ortamları yeterli özen gösterilmeden ve güvenlik tedbirleri alınmadan imha edildiğinde, kişisel verilerin başka şirket veya kişilerin eline geçme durumu söz konusu olabilir.
Dolayısıyla imha aşamasında ve daha sonrasında bu riski en aza indirmek için;
Veriler, muhafaza edildikleri saklama ve kayıt ortamlarına ve gizlilik seviyelerine göre uygun yöntemler belirlenerek imha edilmelidir. İmha işlemi gerçekleştirilirken kullanılan yöntemler; • Silme
Silme: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok Etme: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Anonimleştirme: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Bu yöntemlerden herhangi biri kullanılırken uygulanacak belli başlı imha teknikleri bulunmaktadır. Güvenli bir imha gerçekleştirebilmek için; verinin bilgi güvenliği sınıfına, kişisel veri sınıfına ve bulunduğu ortamın türüne uygun olan teknikler kullanılmalıdır.
Aşağıdaki tabloda, hangi ortam için hangi imha tekniğinin kullanılabileceği açıklanmıştır:
ORTAM |
SİLME |
YOK ETME |
ANONİMLEŞTİRME |
Sunucular |
|
Sunucu içerisinde kullanılan diskler için;
(Degauss)
|
Uygulanmaz |
Kurumsal Uygulama Veri tabanları |
|
Veri tabanı sunucusu içerisinde kullanılan diskler için;
(Degauss)
|
Anonimleştirme yöntemlerinden;
|
Yazılımlar |
|
Uygulama sunucusu içerisinde kullanılan diskler için;
(Degauss)
|
Anonimleştirme yöntemlerinden;
|
Bilgi Güvenliği Cihazları |
“Delete/Sil” komutu kullanılabildiği durumlarda içerisindeki bilgiler silinir. |
Silme yapılamadığı durumlarda;
(Degauss)
|
Uygulanmaz |
Bulut Çözümleri |
|
Hizmet alınan firmadan kişisel veri içeren alanların yok edilmesi istenir. |
Uygulanmaz |
kullanıcıların erişim yetkileri kaldırılır. |
|||
Bilgisayarlar |
Fabrika ayarlarına geri döndürme yapılır, tüm bellek ve hafıza kartları uygun yazılımlar kullanılarak silinir. |
Bilgisayarlar için;
|
Uygulanmaz |
Mobil Telefonlar (SIM Kart ve Hafıza Alanları) |
Fabrika ayarlarına geri döndürme yapılır, tüm bellek ve hafıza kartları uygun yazılımlar kullanılarak silinir. |
Telefon bellek ve hafıza kartları için;
|
Uygulanmaz |
Optik Disk Ortamlar (CD, DVD, Blu- Ray) |
Uygun yazılımlar kullanılarak silinir. |
(Rewritable Diskler için) |
Uygulanmaz |
Taşınabilir Bellek |
Uygun yazılımlar kullanılarak silinir. |
(Degauss)
|
Uygulanmaz |
Kağıt Ortam |
Doküman üzerinde “Karartma” uygulanır. |
Kağıt Öğütücü cihazlar kullanılır. |
Uygulanmaz |
İmha sürecine ilişkin detaylar, İmha Prosedürü içerisinde detaylandırılmıştır. İmha aşamasına gelen veriler, kişisel veri envanteri içerisindeki saklama süreleri baz alınarak takip edilir.
6 aylık periyotlar halinde imha gerçekleştirilir.
İlgili kişiler tarafından gelen imha talepleri, Talep Yönetimi kapsamında gerekli araştırmalar yapıldıktan sonra İmha Yönetimi prosedürüne göre imha edilir.
“Kişisel Veri Envateri/Saklama Süreleri”
Tüm şirket çalışanları ve şirket internet sitesi
Versiyon |
Revizyon Tarihi |
Değişiklik Nedeni |
Hazırlayan/Güncelleyen |
Onaylayan |
V.0 |
10.5.2021 |
- |
KVKK Komitesi |
Müdürler Kurulu |
[1] Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik; Madde.11, (2).fıkrasında belirtildiği üzere bu süre altı ayı geçemez.
[2] Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik (Madde.7, 3).fıkra)