Veri Saklama ve İmha Politikası
1.Amaç:
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ‘una dayalı olarak çıkarılmış olan ve 30224 sayılı Resmi Gazete ‘de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5. ve 6. maddeleri gereği kişisel verilerin saklanması, imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen diğer yükümlülüklerin yerine getirilmesi için kurum genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemektir.
2.Kapsam:
Bu politika; kurum nezdinde tutulan, kurumun tüm çalışanlarını, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, tedarikçilerini ve kurumun diğer hukuki ilişkiye girdiği gerçek ve tüzel kişileri, bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.
Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.
3.Sorumluluklar:
Kurum içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve diğer surette Kurum nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.
Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.
4.Tanımlar ve Kısaltmalar:
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmedir. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteridir.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirmesi işlemidir. Veri kayıt sistemi (VERBİS): Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Çok Paydaşlı Veri: Birden fazla paydaşı , kişiyi ilgilendiren tek veri alanı kaydıdır.
1.Referans Dokümanlar:
- 6698 Sayılı Kişisel Verilerin Korunması Kanunun
- 30224 Sayılı 28.10.2018 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik
2.Uygulama:
2.1.Kişisel Verilerin İmhası
Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri ( Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi maddeleri ) kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.
Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi bünyesinde bulunan kayıt ortamından işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir. Tereddüt duyulan durumlarda ilgili müdürlükten yazılı onay alınarak işlem yapılacaktır.6698 sayılı kanuna istinaden 6 ayda bir saklanma süresi sona eren kişisel veriler kurum arşivinden (hardcopy&softcopy) arşiv sorumlusu tarafından kontrol edilerek imha edilir.
Çok Paydaşlı Verilerin İmhası
Merkezi Bilgi Sistemlerinde yer alan çok paydaşlı veri sahipliği bulunan kişisel verilerin imhasına yönelik karar alınması gerektiğinde ise Veri Sorumlusu İrtibat Kişisi görüşü alınarak ve söz konusu kişisel veri hakkında işbu politikaya göre verinin saklanmasına, silinmesine, yok edilmesine veya anonim hale getirilmesine karar verilir.
2.1.1.Veri Sahibi Talebi Üzerine Kişisel Verilerin imhası
Kişisel verinin sahibi gerçek kişi, Kanunun 13. ( Veri Sorumlusuna Başvuru) maddesine istinaden “Kişisel Veri Değişiklik ve Sorgu Talebi Dilekçesi ” ile Kuruma başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, başvuru tarihinden itibaren en geç otuz gün (30) içinde sonuçlandırılır. Kişisel verilerin silinmesi ya da yok edilmesine yönelik talepler ancak ilgili kişinin kimlik
tespitinin yapılmış olması kaydıyla değerlendirilecektir. Başvuru yapan kişisel veri sahibine veri sorumlusu onay ile “Kişisel Veri Değişiklik ve Sorgu Talebi Dilekçesi ” ile belirlenen yöntemler aracılığıyla bilgi verilir. Yasal gereklilikler nedeniyle işleme şartları kalkmadıysa; talebe konu kişisel verilerinin silinemeyeceği veri sahibine beyan edilir. İlgili verinin işlendiği birim, kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığını inceler. İşleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri en geç üç ay içerisinde siler, yok eder veya anonim hale getirir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, ilgili verinin işlendiği birim bu durumu derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
2.2.Kişisel Verilerin Periyodik Gözden Geçirmesi
Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve veri sahibi Kurum birimleri, işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç altı aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir. Kişisel veri sahibinin başvurusu veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yapacaklardır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde kanunun 4. ( Kişisel Verilerin İşlenmesi) maddesindeki genel ilkeler ile 12. (Veri Güvenliğine İlişkin Yükümlülükler) maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur.
2.3.Kişisel Verilerin Saklanması
Kişisel verilerin işlenme süreleri “Kişisel Veri İşleme Envanteri” içerisinde belirtilmiştir. Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde söz konusu saklama ve imha süreleri dikkate alınacaktır. Saklama ve imha süreçleri yasal bir zorunluluk olmadığı sürece veri sahibinin talebi üzerine değişkenlik gösterebilir.
2.3.1.Kişisel Verilerin Güvenli Ortamda Saklanması
2.3.1.1.İdari Tedbirler
Kurumda çalışanların görev tanımlarına göre yetkilendirilmiş erişim kontrolü uygulanmaktadır.
İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede Veri Sorumlusu İrtibat Kişisine ve KVK Kuruluna bildirilir. Bolu Belediyesi bünyesinde konu ile ilgili soruşturma başlatılır ve gerek duyulması durumunda adli mercilere bildirilir. İşlenen kişisel verilerin paylaşıldığı kurum veya kişiler ile veri güvenliğine ilişkin sözleşmeler yapılarak ilgili hüküm ve koşullar belirtilerek kişisel verilerin güvenliği sağlanır.
Kurum personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
Not: VERBİS sisteminde açıklanacak olan teknik tedbirler ışığında, kurumda BGYS varsa bu çerçevede, kurumun teknik alt yapısı analiz edilerek yazılacak.
- Kurum ağları güvenlik duvarı ile dışardan gelebilecek saldırılara karşı koruma altına alınmıştır.
- Kurum ağına misafir girişler kısıtlanmıştır.
- Kurumda yer alan bilişim sistemi ağları; yaşanabilecek sızmalara, yetkisiz erişimlere ve siber saldırılara karşı izlenmektedir.
- Kurumda işlenmekte olan kişisel verilerin saklandığı fiziki alanlar, çalınmaya ve kaybolmaya karşı gerekli fiziksel güvenlik önlemleri alınarak muhafaza edilir.
- Kişisel verilerin yer aldığı ortamların dış risklere(yangın, sel, deprem vb.) karşı gerekli uygun yöntemler belirlenerek koruma altına alınmıştır. Kritik birimlere girişler kısıtlanmıştır.
- Kurum içerisinde kullanılmakta olan sistem uygulamalarına dair güncellemeler takip edilerek uygulanmaktadır.
- Kurum içerisindeki sistemlere erişim, kurum içerisindeki personelin görev tanımlarına göre kısıtlanmaktadır. Veri barındıran sistem, uygulama, veri tabanı vb. alanlara erişim için kullanılmakta olan şifreler, kurum şifreleri karmaşık bir algoritma ile üretilmektedir ve sistemler bu şekilde kullanılmaya zorlamaktadır.
- Kötü amaçlı yazılımlara karşı sistem altyapısı güvenli hale getirilerek çeşitli virüs koruma yazılımları kullanılmaktadır.
- Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu uygun bir ortam da muhafaza edilmektedir, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemler de alınmıştır.
- Kurum kişisel verilerin yedeğini almakta ve güvenliğini sağlamaktadır. Alınan yedeklerin doğruluğu periyodik olarak testler ile kontrol edilmektedir.
3.Referans Dokümanlar
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
- Açık Rıza Beyanı Formu
4.İlgili Dokümanlar
- Kişisel Verilerin Korunması ve İşlenmesi Politikası
5.Kayıtlar
Kişisel Veri Değişiklik ve Sorgu Talebi Dilekçesi Açık Rıza Beyanı Formu
Güncelleme Tarihi : 19.11.2021