Bodrum CV ile Sende Hızlı İş Bul...
Anasayfa Üye Ol Giriş Yap İşveren Giriş Yap
  1. Anasayfa
  2. Saklama ve İmha Politikası
Aday Aydınlatma Metni İşveren Müşteri Temsilcisi Aydınlatma Metni Referans Kişi Aydınlatma Metni Saklama ve İmha Politikası Özgeçmişini Güncelleme Politikası Kişisel Verilerin İşlenmesi ve Korunması Politikası Veri Sahibi Başvuru Formu

Saklama ve İmha Politikası

  1. 1.AMAÇ

Bu politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun)’na uyum kapsamında, Bodrum CV İstihdam Bürosu A.Ş. (“Şirket”) tarafından işlenen kişisel verilerin işlendikleri amaç için gerekli olan azami süreyle saklanması ve imha edilmesine ilişkin usul ve esasların, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesidir

  1. 2.KAPSAM

Bu politika hükümleri, Şirket tarafından kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Bodrum CV aday, işveren müşterileri ve tedarikçileri için hazırlanmıştır.

  1. 3.TANIMLAR

Bu politikada yer alan önemli tanımlar aşağıda belirtilmiştir. 

 

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Bulut Ortamları/Sistemleri

Verilerin internet üzerinde depolanabildiği ve erişilebildiği sistemler 

Doğrudan tanımlayıcılar

 

Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar

Dolaylı tanımlayıcılar

Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar

İlgili Kişi

Kişisel verisi işlenen gerçek kişi

 

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Karartma

Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi 

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

Manyetik Bant

Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlar

Manyetik Disk

Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlar

Maskeleme

Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Koruma Komisyonu 

Şirket’in Veri Koruma Komisyonu’nu ifade eder. 

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
  1. 4.SORUMLULUK

İşbu Politika Veri Koruma Komisyonu tarafından onaylanıp yürürlüğe girmiştir. Veri Koruma Komisyonu Şirket’in tüm çalışanlarının işbu Politika’yı okumalarını sağlar. 

Tüm Şirket çalışanları, görevlerini işbu Politika’ya ve ilgili tüm politika, prosedür ve mevzuata uygun olarak yerine getirmekten sorumludur. 

5.KAYIT ORTAMLARI

Veri sahiplerine ait kişisel veriler, Şirket tarafından işbu Politika kapsamında düzenlenen aşağıdaki kayıt ortamlarında başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak ve veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

  1. Bulut ortamı
  2. Kâğıt ortamı
  3. Merkezi sunucular
  4. Veri tabanları 
  5. Hard Diskler

 

  1. KİŞİSEL VERİLERİN İMHASI

Şirket tarafından toplanan kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen işleme şartlarına uygun olarak Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda belirtilen amaçlar dahilinde işlenmekte ve Envanter’de belirtilen amaçlarla saklanmaktadır:

Şirket’in faaliyetleri çerçevesinde işlenen kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 6502 sayılı Tüketicinin Korunması Hakkında Kanun
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • İlgili diğer kanunlar ve ikincil düzenlemeler 

çerçevesinde öngörülen saklama süreleri kadar saklanır.

Kanun ve ilgili diğer kanun ve ikincil düzenlemelerin hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hâle getirilir.  Buna göre;

  • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
  • Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • İlgili kişinin, Kanun’un 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

gibi hallerde kişisel verilerin silinmesi, yok edilmesi ya da anonim hâle getirilmesi sağlanır.

  1. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEDBİRLER

Şirket tarafından kişisel verilerin, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınır; Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması sağlanır.  Şirket bünyesinde alınmakta olan idari ve teknik tedbirler aşağıda listelenmiştir;

    1. 7.1.İDARİ TEDBİRLER
  1. Kişisel verilerin hukuka aykırı işlenmesinin önlenmesi (Aydınlatma-Açık Rıza- Taaahhüt))
  2. Kişisel verilerin güvenli bir şekilde muhafazasının sağlanması
  3. Kişisel verilere hukuka aykırı erişilmesinin önlenmesi 
  4. Kişisel verilerin özel nitelikli kişisel veri olup olmadığının tespiti
  5. Mahiyeti gereği ilgili kişisel verinin hangi derecede gizlilik seviyesi gerektirdiğinin tespiti
  6. Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliğinin değerlendirmesi ve tespiti
  7. Risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin tespiti; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmesi ve belgelenmesi.
  8. Kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması için şirket içi eğitimin tasarlanması, yapılması ve belgelenmesi 
  9. Güvenlik risklerinin belirlenebildiği bir ortam oluşturulması, yapılan çalışmaların belgelenmesi 
  10. Veri sorumlusu nezdinde çalışanların kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi ve bunun çalışan tarafından kabul edildiğinin tespiti, Çalışanların bu konudaki rol ve sorumluluklarının farkında olmasının sağlanması için devamlı eğitim ve denetim yapılması ve bunun belgelenmesi
  11. Çalışanların işe alınma süreçlerinin parçası olarak gizlilik anlaşmalarını imzalaması
  12. Politikalara uyulmaması durumlarına ilişkin yaptırımların belirlenmesi ve disiplin süreçlerinin hazırlanması, yürürlüğe sokulması ve uygun şekilde duyurulması
  13. Politika ve prosedür değişikliklerin çalışanlara duyulması ve duyuruların belgelenmesi
  14. Çalışanların, kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerini güncel tutmalarının sağlanması, periyodik hatırlatmalar gibi yöntemlerle devamlılığın sağlanması için uygulama/ prosedürler geliştirilmesi
  15. Veri güvenliği prosedürleri kapsamında düzenli kontrol yapılması
  16. Veri güvenliği prosedürleri kapsamında yapılan kontrollerin belgelenmesi
  17. Güvenlik konusunda geliştirilmesi gereken hususların belirlenmesi
  18. Alınan kişisel verilere ihtiyaç olup olmadığının değerlendirilmesi, işleme amacı için ihtiyaç duyulan veriden fazlasının talep edilmemesi ve işlenmemesini teminen süreçler bazında gerekli çalışmaların tamamlanması; yeni proje ve süreçlerin bu kapsamda tasarlanması 
  19. Arşiv amaçlı tutulan kişisel verilerin daha güvenli ortamlarda muhafaza edilmesi (Örneğin, veri tabanında arşiv amaçlı ve güncel veri ayrımı yapılarak, arşiv amaçlı tutulan verilere erişimin kısıtlanması, şifrelenmesi, fiziksel ortamdaysa kilitli dolaplarda ve odalarda saklanması ve tutulması gerekli olmayanların imha edilmesi gibi)
  20. Kişisel veri işleme envanterinde yer alan "İmha Süreleri"ne uyulmasının sağlanması, periyodik olarak kontrol edilmesi
  21. Veri işleyenden, veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen işleme amaç ve kapsamına uygun ve mevzuata uyumlu şekilde hareket edeceğine dair beyan ve garanti alınması -Veri Sorumlusundan Veri İşleyene Aktarım Politikasının imzalatılması
  22. Veri sorumlusunun veri işleyen üzerinde denetim yapabilme hakkının usul ve şartlarının belirlenmesi ve bunların düzenlenmesi (örn. denetimin hangi aralıklarla ne zaman ne şekilde yapılacağının belirtilmesi)
    1. 22.2.TEKNİK TEDBİRLER
  1. Güvenlik duvarı ve ağ geçidi olup olmadığının kontrol edilmesi, yoksa kurulması 
  2. Yazılım ve donanımların kurulum ve yapılandırma işlemine tabi tutulması (Çalışan görev tanımları ve yetkilerine göre yetkilendirmenin yapılacağı, etkin güvenlik önlemlerinin sağlanacağı, kişisel verilerin işlenmesinin takibinin ve tespitlerinin yapılmasını sağlayan kurulum ve yapılandırmalar)
  3. Kullanılmayan yazılım ve servislerin silinmesi 
  4. Yama yönetimi ve yazılım güncellemeleri 
  5. Yazılım ve donanımların düzgün çalışıp çalışmadığına ilişkin düzenli kontrollerin yapılması 
  6. Sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi 
  7. Kişisel veri içeren sistemlere erişim için görev ve yetki bazında sınırlandırma yapılması 
  8. Erişim için güçlü şifre ve parolaların oluşturulması 
  9. Erişim yetki ve kontrol matrisi oluşturulması 
  10. Şifre girişi deneme sayısının sınırlandırılması 
  11. Düzenli aralıklarla şifre ve paroların değiştirilmesinin sağlanması 
  12. Yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması 
  13. İlişkileri kesilen çalışanların hesabının silinmesi ya da girişlerinin kapatılması 
  14. Sistem ağını düzenli olarak tarayan ve tehlikleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması, düzenli taramaların yapılması ve bu ürünlerin güncel tutulması 
  15. Farklı internet sitelerinden edinilecek kişisel veriler için bağlantıların SSL veya daha güvenli bir yol ile gerçekleştirilmesi 
  16. Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi 
  17. Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi 
  18. Tüm kullanıcıların işlem hareketleri kaydının (log kayıtları gibi) düzenli olarak tutulması 
  19. Güvenlik sorunlarının mümkün olduğunca hızlı şekilde raporlanmasının sağlanması 
  20. Güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi ve bu sistemlerden gelen uyarılar üzerine harekete geçilmesi
  21. Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirme yapılması 
  22. Bilişim sistemine yönelik istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanması 
  23. Kişisel verilerin saklandığı fiziksel evrak ve cihazların çalınması veya kaybolmasına karşı önlem alınması 
  24. Kişisel verilerin yer aldığı fiziksel ortamların yangın, sel vb. dış risklere karşı korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması 
  25. Elektronik ortamdaki ağ bileşenleri arasındaki erişimin sınırlandırılması veya bileşenlerin ayrılması 
  26. E-posta ya da posta ile aktarılacak kişisel verilerin dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi 
  27. Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamasının risklerini önleyecek yeterli güvenlik tedbirlerinin alınması 
  28. Kişisel veri içeren fiziksel evrak ve cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması ve odanın güvenliğinin arttırılması 
  29. Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığının değerlendirilmesi 
  30. Bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonunun sağlanması 
  31. Bulutta depolanan kişisel verilere uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması 
  32. Bulutta depolanacak kişisel verilerin kriptografik yöntemlerle şifrelenmesi, bulut ortamına şifrelenerek atılması ve mümkün olan yerlerde, özellikle hizmet alınan her bulut çözümü için ayrı ayrı şifreleme anahtarı kullanılması 
  33. Bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyalarının yok edilmesi 
  34. Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yapılması ve uygulamalara kontrol mekanizmaları yerleştirilmesi 
  35. Uygulamaların hataların veri bütünlüğünü bozma olasılığı asgari düzeyde olacak şekilde tasarlanması (Uygulama tasarlayanlar için)
  36. Teknik destek için üçüncü kişilere gönderilen cihazlarda sadece arızalı parçaların gönderilmesi, geri kalan veri saklama ortamlarının sökülerek çıkartılması 
  37. Teknik destek için dışarıdan gelen üçüncü kişilerin kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için önlem alınması 
  38. Kişisel verilerin yedeklenmesi ve kişisel verileri kilitleyen kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için yedekleme stratejisi geliştirilmesi 
  39. Veri seti yedeklerinin mutlaka ağ dışında tutulması ve fiziksel güvenliklerinin sağlanması 
  1. KİŞİSEL VERİLERİN hukuka uygun olarak imha edilmesi için alınan tedbirler
    1. Kişisel veriLERİN SİLİNMESİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler Şirket tarafından alınmaktadır.

Kişisel verilerin silinmesi işleminde izlenen süreç aşağıdaki gibidir:

  1. Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
  2. Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
  3. İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
  4. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.

Kişisel veriler saklandıkları kayıt ortamlarına uygun yöntemlerle silinir.

  1. Bulut ortamındaki veriler, silme komutu verilerek silinir. İlgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmaması sağlanır. 
  2. Kâğıt ortamında bulunan kişisel veriler, karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır. 
  3. Merkezi sunucuda yer alan ofis dosyaları, işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması sağlanır. Bu işlemi gerçekleştiren kullanıcının, veri tabanı yöneticisinden farklı bir kişi olması sağlanır.  
  4. Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir. 
  5. Veri tabanlarında saklanan kişisel verilerin, bulunduğu ilgili satırların veri tabanı komutları ile (Delete) silinmesi sağlanır. Bu işlemi gerçekleştiren kullanıcının, veri tabanı yöneticisinden farklı bir kişi olması sağlanır.  
    1. Kişisel veriLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirler Şirket tarafından alınmaktadır.

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerle tek tek yok edilir:

  1. Yerel sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemler kullanılır:
  • De-manyetize etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemi.
  • Fiziksel yok etme: Optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi işlemi.
  • Üzerine yazma: Özel yazılımlar kullanılarak, manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi. 
  1. Çevresel sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemler kullanılır:
  • Ağ cihazları (switch, router vb.): (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
  • Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
  • Manyetik bant: Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
  • Manyetik disk gibi üniteler: Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
  • Mobil telefonlar (Sim kart ve sabit hafıza alanları): a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
  • Optik diskler (CD, DVD vb.): Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.
  • Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
  • Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri:  (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
  1. Kâğıt ve mikrofiş ortamlarındaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi sağlanır. Bu işlem gerçekleştirilirken veriler, kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür. Orijinal kâğıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre de-manyetize edilmesi, fiziksel olarak yok edilmesi ve üzerine yazma gibi yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanır.
  2. Bulut ortamında yer alan kişisel veriler için, bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi sağlanır. 
  3. Arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
  • İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
  • Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
  • Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması sağlanır.
    1. Kişisel veriLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. 

Şirket tarafından uygulanacak anonim hale getirme yöntemleri belirlenirken, sahip olunan veri kümesine dair aşağıdaki özellikler dikkate alınarak, Kurum’un yayınladığı “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’nde yer alan yöntemlerinden uygun olanı kullanılır:

  • Verinin niteliği,
  • Verinin büyüklüğü,
  • Verinin fiziki ortamlarda bulunma yapısı,
  • Verinin çeşitliliği,
  • Veriden sağlanmak istenen fayda / işleme amacı,
  • Verinin işlenme sıklığı,
  • Verinin aktarılacağı tarafın güvenilirliği,
  • Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması,
  • Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı,
  • Verinin dağıtıklık/merkezilik oranı,
  • Kullanıcıların ilgili veriye erişim yetki kontrolü,
  • Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali.
      1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri:
  • Değişkenleri Çıkartma
  • Kayıtları Çıkartma
  • Bölgesel Gizleme
  • Genelleştirme
  • Alt ve Üst Sınır Kodlama
  • Global Kodlama
  • Örnekleme

 

      1. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri:
  • Mikro Birleştirme
  • Veri Değiş Tokuşu
  • Gürültü Ekleme

 

      1. Anonim Hale Getirmeyi Kuvvetlendirici İstatistiksel Yöntemler:
  • K-Anonimlik
  • L-Çeşitlilik
  • T-Yakınlık
  1. Kişisel veriLERİ saklama ve imha SÜReÇLERİNDE YER ALAN PERSONEL

Kişisel verilerin işlenmesi, saklanması ve imhası süreçlerinde yer alan Şirket’in tüm birimleri ve çalışanları, işbu Politika gereklerinin yerine getirilmesinden, Politika kapsamında alınan teknik ve idari tedbirlerin gereği gibi uygulanmasından ve kendi iş süreçlerinde ürettikleri verileri saklamak ve korumaktan sorumludurlar.

İş süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına, veri kaybına ve yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar, ilgili kişisel verinin türü, içinde yer aldığı sistemler ve veri sahibi iş birimi dikkate alınarak Bilgi Teknolojileri Bölümü’nce yapılır.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına bu Politika’nın ekinde yer verilmiştir.

  1. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;

  1. İlgili veri kategorisinin işlenme amacı kapsamında Şirket’in faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
  2. İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  3. İlgili veri kategorisinin işlenme amacına bağlı olarak Şirket’in elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
  4. İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  5. Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
  6. Şirket’in hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
  7. Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alınır. Kişisel veri kategorilerinin işleme amaçlarına dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme sürelerinin, ilgili mevzuatta azami muhafaza edilme süresi öngörülmüşse, bu süreyi aşmayacak şekilde belirlenmesi gerekir.

Bodrum CV platformu kapsamında işlenen aday verileri kişinin üyeliğini silmesi ile derhal imha edilir. Kişisel verilerin doğru ve güncel muhafazasını sağlamak üzere adaya üye olduğu tarihten itibaren 1 (bir) yıl sonra “Özgeçmişini güncelle” e-postası iletilir. Adayın e-postaya yanıt vermemesi durumunda verilerinin doğru ve/veya güncel olmadığı kabul edilerek özgeçmişi, e-postanın iletildiği günü takiben gerçekleştirilen ilk periyodik imha zamanında imha edilir.

İşveren müşteri ve tedarikçi verileri sözleşmenin sona ermesini takiben 10 yıl sonra imha edilir.

    1. Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel veriler, Şirket tarafından resen altı aylık periyotlarda (Aralık-Haziran) düzenli olarak silinir, yok edilir veya anonim hale getirilir.  Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde söz konusu işlemlerin uygulanması sağlanır.

İlgili kişisel veriler üçüncü kişilere aktarılmışsa bu durum veri aktarılan taraflara ve/veya Şirket’in verdiği yetkiye dayanarak Şirket adına veri işleyenlere bildirilir ve bu kişiler nezdinde gerekli işlemlerin yapılması sağlanır.

    1. Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri

İlgili kişinin kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep etmesi halinde;

  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel veriler, Şirket tarafından en geç otuz gün içinde silinir, yok edilir veya anonim hale getirilir ve ilgili kişiye bilgi verilir.
  2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durum veri aktarılan taraflara ve/veya Şirket’in verdiği yetkiye dayanarak Şirket adına veri işleyenlere bildirilir ve bu kişiler nezdinde gerekli işlemlerin yapılması sağlanır.
  3. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Kanun’un 13. maddesi uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır. 

    1. Sair Hükümler

Bu Politika çalışanlara Veri Komisyonu tarafından sunulacaktır. 

Bu Politika yayınlandığı anda yürürlüğe girer. 

Bu Politika’da her zaman değişiklikler yapılabilir. Yapılan değişikliklerin çalışanlara Veri Komisyonu tarafından bildirilmesi gerekmektedir. 

 

EK.1 KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN PERSONEL

UNVAN

BİRİM

GÖREV TANIMI

Üst Düzey Yönetim

Genel Müdür

Politika’nın hazırlanması, yayınlanması, güncelliğinin sağlanması ve çalışanların politikaya uygun hareket etmesinden sorumludur.

Birim/Departman Yöneticisi

Tüm Birimler

Görevlerine uygun olarak Politika’nın yürütülmesinden ve sorumlu olduğu birimde uygulanmasının sağlanmasından sorumludur.

Bilgi İşlem Müdürü

Bilgi İşlem

Kişisel verilerin güvenli bir şekilde saklanması, hukuka uygun olarak işlenmesi, erişilmesi ve imha edilmesine ilişkin teknik tedbirlerin alınmasından ve kişisel veri imha sürecinin yönetiminden sorumludur.  

Veri Koruma Komisyonu

 Veri Koruma Komisyonu

Kişisel veri saklama ve imha politikası uygulama sorumlusu: periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.

KATEGORİLER

FİRMALAR İÇİN

ŞAHISLAR İÇİN

KİŞİSEL VERİLERİN KORUNMASI

KURUMSAL

© Copyright 2022 Bodrum CV
Gizlilik Politikası

Bu internet sayfası BESİAD (Bodrum Esnaf Sanayici İş İnsanları Derneği) ile iş birliği halindedir.