İÇİNDEKİLER
1.DAYANAK, AMAÇ VE KAPSAM
Dayanak
KİŞİSEL VERİ SORUMLUSU tarafından oluşturulan bu politika KVK Kanunu 7 / 3 f. kapsamında ve yine aynı kanunun 22/1 f. / e bendine istinaden KVK Kurulu tarafından 28.10.2017 tarihli 30224 sayılı RG de yayınlanarak yürürlüğe giren KVSYH Yönetmelik hükümlerine dayanmaktadır.
Amaç
Bu KVSİ Politikasının amacı, KVK Politikası, KVK Kanunu, ulusal ve uluslararası hukuki düzenlemelerin gerektirdiği kurallar çerçevesinde kişisel veri işleyicisi ve sorumlusu olan KİŞİSEL VERİ SORUMLUSU’nun, ilgili kişilere ait kişisel verilerin işlenmesi aşamasından sonra imha edilmesine ilişkin silme, yok etme veya anonim hale getirme faaliyetleri ilgili bu süreçte KİŞİSEL VERİ SORUMLUSU’nun ve KİŞİSEL VERİ SORUMLUSU ile iletişim ve etkileşim içerisinde bulunan, hukuki, ticari ve finansal ilişkiler içerisine giren tüm özel ya da kamu kurum kuruluşları ile gerçek ve tüzel kişilerin edimlerini, yükümlülüklerini, sorumluluklarını, uyulacak olan usule ve esasa ilişkin kuralları ve politikaları belirlemektir
Kapsam
Bu politika, KVK Kanunu başta olmak üzere ulusal ve uluslararası kanun, tüzük, yönetmelik, genelge, düzenleyici ve denetleyici kurum ve kuruluş kararları, direktifler, uluslararası anlaşmalar, sözleşmeler ve KİŞİSEL VERİ SORUMLUSU ile işbirliği, çözüm ortağı veya her ne isim altında olursa olsun iletişim, etkileşim içinde bulunan üçüncü şahıslar, resmi, gerçek ya da tüzel kişiliğe sahip tüm kişi, kurum ve kuruluşlar, KİŞİSEL VERİ SORUMLUSU’nun ortakları, müşterileri, çalışanları, tedarikçileri, ile yapılan ya da yapılacak olan hukuki, ticari, finansal her türlü sözleşmeler ve sözleşme ekleri çerçevesinde, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen ve ardından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleyerek kişisel veriyi silme, yok etme veya anonim hale getirme sürecini yürüten ve ayrıca bu süreçten sorumlu olan KİŞİSEL VERİ SORUMLUSU ve KİŞİSEL VERİ SORUMLUSU ile iletişim, etkileşim içinde bulunanlar hakkında uygulanır.
2. TERİMLER VE KAVRAMLAR
İşbu politikada yer alan;
108 No’lu Sözleşme; Avrupa Konseyi tarafından hazırlanan ve imzalanan, 01.10.1985 tarihinde yürürlüğe giren Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireyleri Korunması Sözleşmesi’ni,
95/46/EC Sayılı Direktif; Avrupa Parlamentosu ve Konseyi tarafından 1995 yılında kabul edilen Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi’ni,
Açık rıza; Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
AİHS; Avrupa Konseyi tarafından hazırlanan, 03.09.1953 tarihinde yürürlüğe giren Avrupa İnsan Hakları Sözleşmesi’ni
Akış Şeması KİŞİSEL VERİ SORUMLUSU’nun faaliyetlerini, çalışma yöntem ve usullerini, Kişisel verilerin işleme sürecini şematik olarak gösteren işbu KVK Politikasının eki ve ayrılmaz bir parçası olan şemayı,
Alıcı grubu; KİŞİSEL VERİ SORUMLUSU tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Anonim hâle getirme; Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
AYYGE Tebliğ; KVKK tarafından 10.03.2018 tarihli RG Yayımlanan “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”i,
DHKD Kanun; Dilekçe Hakkının Kullanılmasına Dair Kanunu,
Doğrudan tanımlayıcılar; Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa Çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
Dolaylı tanımlayıcılar; Diğer tanımlayıcılar ile bir araya gelerek, ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
Etkileşim ve iletişim; KİŞİSEL VERİ SORUMLUSU’nun yazılı ya da sözlü, mesafeli ya da mesafesiz olarak hukuki, ticari, finansal, akdi vb. açılardan oluşan sorumluluk ve yükümlülük doğuran her türlü ilişkiyi
GDPR; 95/46/EC sayılı direktifi 25.05.2018 tarihinde yürürlükten kaldıran 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nü
İlgili kişi; KİŞİSEL VERİ SORUMLUSU tarafından kişisel verisi işlenen, veri sahibi olan gerçek kişiyi,
İlgili kullanıcı; Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,
İmha; Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Karartma; Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek bir şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
Kayıt ortamı; Tamamen veya kısmen otomatik olan ya da herhangi bir Veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
KVKK; Kişisel Verileri Koruma Kurumu’nu
KVK Kanunu; 24.03.2016 tarihinde kabul edilen ve 07.04.2016 tarihinde 29677 sayılı RG de yayınlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
KVK Kurulu; KVKK kurumu nezdindeki yetkili kurulu,
KVK Politikası; KİŞİSEL VERİ SORUMLUSU tarafından kabul edilen ve yürütülen işbu Kişisel Verileri Koruma Politikasını,
KVSİ Politikası; KVSYH Yönetmelik kapsamında hazırlanan ve KİŞİSEL VERİ SORUMLUSU’nun, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptığı Kişisel Veri Saklama ve İmha Politikasını,
KVSYH Yönetmelik; KVK Kanunu kapsamında çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği,
Maskeleme; Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
Otomatik işleme; İnsan müdahalesi ya da yardımı konusundaki ihtiyacı asgari seviyeye indiren, kendi aralarında bağlantılı ve etkileşimli elektrikli veya elektronik bir sistem tarafından gerçekleştirilen kişisel veri işleme faaliyetini,
Otomatik olmayan işleme ; İnsan müdahalesi ya da yardımı yoluyla yani elle yapılan kişisel veri işleme faaliyetini,
Özel nitelikli kişisel veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Kanun’da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiş olan ve kıyas yoluyla genişletilmesi mümkün olmayan veri türünü,
Periyodik imha; Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
RG; Resmi Gazete
Sicil; KVKK Başkanlığı tarafından tutulan veri sorumluları sicilini,
Silme; Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Tablo ; KİŞİSEL VERİ SORUMLUSU tarafından kişisel verilerin işleme süreci ile ilgili Faaliyetlerin Sistematik ve anlaşılır bir şekilde açıklanması amacıyla oluşturulan, KVK Politikasının eki ve ayrılmaz bir parçası olan tabloyu,
TCK; 5237 sayılı Türk Ceza Kanunu’nu,
TMK; 4721 sayılı Türk Medeni Kanunu’nu
VERBİS; Veri sorumluları sicil bilgi sistemi olarak bilinen veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, KVKK Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemini,
Veri aktaran; Kişisel verileri, kendi sisteminden başka bir veri sorumlusuna transfer eden, aktaran gerçek veya tüzel kişiyi;
Veri alıcısı; Başka bir veri sorumlusu tarafından kendi sistemine kişisel veri aktarılan gerçek veya tüzel kişiyi;
Veri envanteri; Kişisel veri işleme envanteri olarak da isimlendirilen KİŞİSEL VERİ SORUMLUSU’nun iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Veri işleyen; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi; Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği elektronik ya da fiziki ortamda oluşturulabilen kayıt sistemini,
Veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan yurt içinde ve dışında faaliyet gösteren HOLIDAY GARDEN RESORT HOTEL olarak grup otellerini belirten ŞAHINLER OTELCILIK VE TURIZM SANAYI AŞ .isimli gerçek veya tüzel kişiyi,
VSBUH Tebliğ; KVKK tarafından çıkarılan ve 10.03.2018 tarihli RG yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
VSSH Yönetmelik; KVK Kanunu kapsamında çıkarılan Veri Sorumluları Sicili Hakkında Yönetmelik
Yok etme; Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
ifade eder.
Bu maddede bulunmayan terimler ve kavramlar için ilgili mevzuattaki terim ve kavram tanımları geçerlidir.
Genel Olarak
KİŞİSEL VERİ SORUMLUSU tarafından işlenmiş olup da, tüm işlenme şartlarının ortadan kalktığı kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yani diğer bir ifade ile kişisel verilerin imha edilmesi, işbu KVSİ Politikası’nda belirtilen standartlara ve mevzuata uygun olarak aşağıda açıklanacak süreç ve yöntemlerle gerçekleştirilir.
KVK Kanunu’ndan Önce İşlenen Verilerin İmhası
KVK Kanunu’n Geçici 1./ 3. f maddesi kapsamında, KİŞİSEL VERİ SORUMLUSU tarafından önceden işlenmiş olan kişisel veriler, kanunun yayımı tarihinden itibaren iki yıl içinde KVK Kanunu hükümlerine ve KVK Politikası standartlarına uygun hale getirilmiştir.
Önceden kişisel verileri işlenmiş olup da, açık rızası alınmamış olan ya da KVK Kanunu 5 inci ve 6 ıncı maddeleri çerçevesinde açık rıza beyanına gerek duyulmadan alınmış olan kişisel verilerle ilgili olarak KİŞİSEL VERİ SORUMLUSU , ilgili kişilere ulaşarak, ilgili mevzuat ve KVK Politikası hüküm ve şartları doğrultusunda aydınlatma metnini de içeren açık rıza beyanlarını almıştır. Önceden kişisel verileri işlenip de ilgilisine ulaşılamayan ya da açık rızası alınamayan kişisel veriler ile kanunen açık rıza beyanına gerek duyulmaksızın işlenmiş olan kişisel veriler, KVK Kanunu 7 inci maddesi çerçevesinde, işlenmesini gerektiren sebeplerin ortadan kalkması nedeniyle KİŞİSEL VERİ SORUMLUSU tarafından re’sen ya da ilgili kişinin talebi üzerine silinmekte, yok edilmekte ya da anonim hale getirilmektedir.
Diğer taraftan KVK Kanunu’nun yayımı tarihinden önce KİŞİSEL VERİ SORUMLUSU tarafından hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmamış ise, o kişisel veriler mevzuata ve KVK Politikası şartlarına uygun kabul edilmektedir.
KVK Kanunu’ndan Sonra İşlenen Verilerin İmhası
KİŞİSEL VERİ SORUMLUSU, KVK Politikasında ve KVK Kanunu’nun 5. ve 6. maddelerinde değinilen kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, işlemiş olduğu kişisel verileri re’sen veya ilgili kişinin talebi üzerine işbu KVSİ Politikası standartlarına uygun olarak silmekte, yok etmekte veya anonim hale getirmektedir.
KİŞİSEL VERİ SORUMLUSU, KVSİ Politikası standartları kapsamında, işlemiş olduğu kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi sürecinde KVK Kanunu’nun 4 üncü maddesinde ve KVK Politikası hükümleri içinde yer alan genel ilkeler ile KVK Kanunu’nun 12 nci maddesi ve yine KVK Politikası kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, KVK Kurulu kararlarına uygun hareket etmektedir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.
Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.
Kişisel Verilerin İmha Süreci
Kişisel verilerin imha edilmesiyle ilgili olarak KİŞİSEL VERİ SORUMLUSU’nun izlemesi gereken süreçte sırasıyla;
işlemlerine ve faaliyetlerine yer verilir.
Kişisel Verilerin Silinmesi
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlem ve faaliyetleri, kişisel verilerin silinmesi olarak adlandırılır.
KİŞİSEL VERİ SORUMLUSU işbu politika ve KVK Kanunu kapsamında, silinen kişisel verilere, kullanıcıların ulaşamaması ve tekrar kullanamaması için gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel Verilerin Silinmesi Yöntemleri
KİŞİSEL VERİ SORUMLUSU tarafından işlenen kişisel veriler, birden fazla ortamda kaydedilmekte ve saklanabilmektedir. Bu nedenle veriler, saklanabildikleri kayıt ortamının özelliklerine uygun yol ve yöntemlerle silinmektedir. KİŞİSEL VERİ SORUMLUSU’nun uyguladığı silme yöntemleri aşağıda sırası ile yer almaktadır.
Bulut Ortamında Bulunan Kişisel Verilerin Silinmesi
KİŞİSEL VERİ SORUMLUSU tarafından hizmet alımı olarak gerçekleştirilen bulut sisteminde ( Microsoft 365, Google Drive, OneDrive vb.) sayısal ortamlarda saklanan verilerle ilgili olarak silme işlemine konu olan kişisel veriler belirlendikten sonra, her bir kişisel veri açısından değerlendirme yapılarak, bu veriye erişim yetkisi, yönetim panelleri, kontrol matrisi veya benzer elektronik sistemlerle, bu verilerin kullanıcıları ile bu kullanıcıların veriye erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri tespit edilmekte, ardından bu veriler, bu verilere ilişkin kullanım yetkileri, silme komutu verilerek silinmekte kapatılmakta ve ortadan kaldırılmaktadır.
Bu işlemler yapılırken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olup olmadığı tespit edilmekte, böyle bir yetkisi var ise bu yetki de ortadan kaldırılmakta ya da kapatılmaktadır.
Kâğıt Ortamında Bulunan Kişisel Verilerin Silinmesi
KİŞİSEL VERİ SORUMLUSU tarafından kişisel veriler, kağıt ortamında, fiziki olarak da işlenebilmekte ve saklanabilmektedir. Kağıt ortamında saklanan bu tür kişisel veriler KİŞİSEL VERİ SORUMLUSU tarafından karartma işlemine tabi tutularak yapılmakta, bu yöntem dışında sıklıkla KİŞİSEL VERİ SORUMLUSU’nun faaliyette bulunduğu çalışma alanlarında yeterli miktarda konumlandırılan kağıt kırpma makinaları vasıtası ile bu verileri içeren kağıtların geri dönüşümü mümkün olmayacak, kullanılamayacak ve okunamayacak şekilde kesilmesi, kırpılması yok edilmesi yoluna gidilmektedir.
Merkezi Sunucuda (Server’da) Bulunan Dosyanın Silinmesi
KİŞİSEL VERİ SORUMLUSU tarafından merkezi sunucu ya da sunucularda (server) tutulan dosya ve içeriklerinde de kişisel veriler barınmaktadır. Bu tür kişisel verilerin silinmesi ile ilgili olarak KİŞİSEL VERİ SORUMLUSU dosyanın yer aldığı merkezi sunucunun işletim sisteminde silme komutu vererek veriyi silme yoluna gitmekte veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim ya da veriyi geri getirme hak ve yetkilerini ortadan kaldırarak kişisel veri silme işlemini gerçekleştirmektedir. Bunu yaparken ilgili kullanıcının aynı zamanda sistem yöneticisi olup olmadığına da dikkat etmektedir.
Mobil Medya Ortamında Bulunan Kişisel Verilerin Silinmesi
KİŞİSEL VERİ SORUMLUSU , kişisel verilerin bir kısmını taşınabilir bellek ortamlarında ya da diğer taşınabilir sayısal medya ortamlarında saklamaktadır. Bu tür kişisel verilerin saklandığı, ortamlara şifreli olarak ulaşılabilmekte, her bir saklama ortamının özelliklerine uygun yazılım ve bilgisayar programları ve uygulamalar vasıtası ile tekrar kullanılamaz, geri döndürülemez şekilde silme işlemine tabi tutulmaktadır.
Veri Tabanları
KİŞİSEL VERİ SORUMLUSU, veri tabanında sakladığı kişisel verilerle ilgili satırları, mevzuat ve işbu KVSİ politikası standartlarına uygun olarak bu satırların veri tabanı komutları ile (Delete, Sil vb.) silmektedir. Bunu yaparken, ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olup olmadığına dikkat edilmekte, silme işlemi bu bilgiler doğrultusunda yapılmaktadır.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin hiçbir kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlem ve faaliyetleri, kişisel verilerin yok edilmesi olarak adlandırılır.
KİŞİSEL VERİ SORUMLUSU, veri sorumlusu olarak işbu politika ve KVK Kanunu kapsamında, silinen kişisel verilerin yok edilmesi konusunda gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Yerel Sistemler
KİŞİSEL VERİ SORUMLUSU, kişisel verilerin sakladığı sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçını kullanabilir.
Çevresel Sistemler
KİŞİSEL VERİ SORUMLUSU, ağ anahtarı, ana ağ yönlendiricisi gibi ağ cihazlar , taşınabilir bellek ortamları, mobil sim kart ve bunlara ait sabit hafıza alanları, veri kayıt ortamı, çıkartılabilen yazıcı, parmak izli güvenlik geçiş sistemi gibi çevre birimleri gibi sistemlerde kayıtlı ya da saklı kişisel verileri , işbu politikanın bir önceki “yerel sistemler” başlıklı paragrafda yer alan uygun yöntemlerden bir veya birkaçı kullanılmak suretiyle yok edilmektedir.
Kâğıt Ortamı
KİŞİSEL VERİ SORUMLUSU tarafından kalıcı ve fiziksel nitelik ve özelliklere sahip ortam üzerinde yazılı olarak kâğıt ve mikro-fiş ortamında saklanan kişisel veriler yok edilirken kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkün olduğu kadarıyla yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmektedir.
Kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel veriler var ise bunlar da bulundukları elektronik ortama göre işbu politikanın bir önceki “yerel sistemler” başlıklı paragrafında yer alan yöntemlerden bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
Bulut Ortamı
Bulut sistemlerinde tutulan kişisel verilerin depolanması ve kullanımı sırasında KİŞİSEL VERİ SORUMLUSU, kriptografik yöntemlerle şifrelenmekte, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut sistemi için ayrı ayrı şifreleme anahtarları kullanılmaktadır.
KİŞİSEL VERİ SORUMLUSU ile bulut hizmet sağlayıcı arasında bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarları ve bu anahtarların tüm kopyaları yok edilmektedir.
Bu ortamlara ek olarak; arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilmektedir:
Kişisel Verilerin Anonim Hale Getirilmesi
KVK Kanunu’nda ve KVK Politikası’nda, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesine kişisel verilerin anonim hale getirilmesi olarak tanımlanmaktadır.
İşbu politika kapsamındaki kişisel verilerin anonim hale getirildiği sonucunu çıkarabilmek adına, bu verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerektiğinden KİŞİSEL VERİ SORUMLUSU, işbu politika standartları çerçevesinde, verilerin anonimleştirilmesi için gerekli olan her türlü teknik ve idari tedbirleri almaktadır.
Her ne kadar KİŞİSEL VERİ SORUMLUSU, sakladığı kişisel verilerin imha edilmesi seçeneklerinden birisi olan kişisel verilerin anonim hale getirilmesi yolunu sıklıkla kullanmasa da, böyle bir seçeneğe başvurduğu takdirde, aşağıda belirtilen kişisel verilerin anonim hale getirilmesi yöntemlerinden birini veya bir kaçını birlikte veya ayrı ayrı kullanmaktadır.
Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri
Bir veri kümesindeki tüm doğrudan veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup içinde ayırt edilebilir olma özelliğini bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesi yolunda yürütülen işlem, kişisel verilerin anonim hale getirme işlemi olarak adlandırılmaktadır.
İşbu KVSİ Politikasına göre, veri kümesindeki tüm tanımlayıcıların çıkartılarak ya da değiştirilmek suretiyle ilgili kişinin kimliğini saptayabilme özelliğinin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır.
Yine işbu politika standartlarına göre, kişisel verinin tutulduğu KİŞİSEL VERİ SORUMLUSU’na ait veri kayıt sistemindeki kişisel verilere uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin ve faaliyetlerinin tümü anonim hale getirme yöntemleri olarak adlandırılmaktadır.
Anonim hale getirme yöntemlerinden bazıları aşağıda örnekleme yoluyla sayılmış olup, kişisel verinin özellikleri, nitelikleri, kayıtlı bulunduğu ortam ve şartları dikkate alınarak, bu yöntemlerden bir veya birkaçı, birlikte veya ayrı ayrı olarak KİŞİSEL VERİ SORUMLUSU tarafından uygulanmaktadır.
Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlamayan yöntemlerde kümedeki verilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmamaktadır. Bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılmakta, bu suretle verinin genelinde değişiklik yaşanırken, alanlardaki değerler orijinal hallerini korumaya devam etmektedir. KİŞİSEL VERİ SORUMLUSU tarafından uygulanan bu yöntemlerden bazıları aşağıda sayılmıştır.
Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak; mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma ve tahribat gerçekleştirilir. Bu tür bir anonim hale getirme yöntemi uygulandığında kayıtların taşıdığı değerler değiştiği için, veri kümesinden elde edilmesi planlanan faydanın doğru hesaplanması zorunludur. Veri kümesindeki değerler değişiyor olsa bile toplam istatistiklerin bozulmaması gerekir. Böyle bir şart gerçekleştiği takdirde yapılan işlem bir değer ifade eder ve söz konusu veriden fayda sağlanmaya devam edilebilir. KİŞİSEL VERİ SORUMLUSU tarafından uygulanan bu yöntemlerden bazıları aşağıda sayılmıştır.
Ortak Hükümler
5. POLİTİKA EKLERİ VE RISK ANALİZ RAPORLARI
İş bu politika çerçevesinde KİŞİSEL VERİ SORUMLUSU adına hazırlanan KVK Politikası kitabında geçen başta KVSI Politika Kitabı olmak üzere, Özet Metinler, Sözleşme Ekleri, Açık Rıza Onay ve Beyanları teslim ve tesellüm belgeleri, görev tanımları, veri envanteri, tablo, şekil ve şemalar iş bu politikanın ekleri olarak kabul edilir. Diğer yandan KİŞİSEL VERİ SORUMLUSU’nun yönetim sistemine ve görev tanımlarına göre hazırlanmış olan bu politika ile birlikte teslim edilen ve dökümü verilen risk analiz raporları da iş bu politikanın eki olarak kabul edilir.
6. GÜNCELLEMEİş bu politika, yılda en az bir defa gözden geçirilmekte ve güncellenmektedir. Kuruma ait kalite sistemi tarafından bu güncellemeler takip edilmektedir.
7. YÜRÜRLÜLÜK VE YÜRÜRLÜKTEN KALDIRMA
İşbu Politika KİŞİSEL VERİ SORUMLUSUNUN internet sitelerinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
Bu politika, ancak başka bir yazılı politikanın hazırlanması ve yürürlüğe girmesi ile yürürlükten kaldırılabilir.