Kişisel Verileri Saklama ve İmha Politikası

1. Amaç

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla B.M.S. Büro Mobilyaları Sanayi A.Ş. (“BMS”) tarafından hazırlanmıştır.

Kişisel verilerin saklanması ve imhasına yönelik iş ve işlemler, BMS tarafından bu Politika’ya uygun olarak gerçekleştirilir.

2. Kapsam

İşbu Politika, BMS’nin çalışanlarına, çalışan adaylarına, hizmet sağlayıcılarına, ziyaretçilerine ve diğer üçüncü kişilere ait kişisel verileri kapsamaktadır. BMS’nin sahip olduğu ya da BMS tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

3. Politika’da Yer Alan Hukuki Kavramlar ve Tanımları

Kavramlar:                                      Tanımlar:

Açık Rıza:                                      Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale Getirme:                    Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

İlgili Kullanıcı:                                Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha:                                             Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kayıt Ortamı:                                  Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Verilerin İşlenmesi:             Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Silinmesi:              Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Veri İşleme Envanteri:       Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kurul:                                            Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri:              Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.

Periyodik İmha:                              Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri Sahibi/ İlgili Kişi:                    Kişisel verisi işlenen gerçek kişi.

Veri Kayıt Sistemi:                          Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ifade eder.

Veri Sorumlusu:                             Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Yönetmelik:                                    28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

4. Sorumluluk ve Görev Dağılımları

BMS, Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, çalışanların eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin güvenliğinin sağlanması ile saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları aşağıdaki gibidir:

Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi işlemleri Yönetim Kurulu tarafından Belge Saklama ve Arşiv Politikası da gözetilmek suretiyle alınacak karar çerçevesinde ve sadece sayılan bu işlem/işlemler için kendisine yetki verilen birim tarafından gerçekleştirilir.

5. Kayıt Ortamları

Kişisel verileriniz BMS tarafından aşağıda belirtilen ortamlarda hem elektronik ortamda hem de fiziki olarak saklanmaktadır.

• Bulut Sistemler
• Kâğıt Ortam
• Dosya Sunucusu (File Server)
• Optik Disk Ortamları
• Kurumsal Uygulama Veritabanları
• Harddisk / SSD / Flash Bellek
• Mobil Telefonlar
• Ağ Cihazları

6. Saklama ve İmhaya İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, BMS tarafından veri sorumlusu sıfatıyla;

1. BMS’nin her türlü ticari faaliyetinin sürdürülebilmesi,
2. BMS’nin her türlü kurumsal sürecinin yönetilebilmesi,
3. Yetkili kamu kurum ve kuruluşlarına karşı olan hukuki yükümlülüklerin yerine getirilebilmesi,
4. BMS bünyesinde istihdam edilenlerin haklarının belirlenmesi ve yerine getirilmesi,
5. Müşteri ilişkilerinin yönetilebilmesi ve sürdürülebilmesi,
6. BMS bünyesinde ve dış ilişkilerde güvenliğin sağlanması, amacıyla kanun ve yönetmelikle belirtilen sınırlar çerçevesinde saklanmaktadır.

Yönetmelik uyarınca, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, veri sahiplerine ait kişisel veriler, BMS tarafından re’sen veya talep üzerine silinir, yok edilir veya anonim hale getirilir.

7. Kişisel Verilerin Saklanması ve İmhası Teknikleri

BMS, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

7.1. Kişisel Verilerin Saklanması

7.1.1. Teknik Tedbirler

BMS, teknik tedbirler kapsamında;

• BMS bünyesinde gerekli olan teknik kontrolleri yapar.
• Virüs koruma programları ve sızma testi hizmetleri alarak sistem zafiyetlerinin önlenmesini sağlar.
• Bilgi teknolojileri departmanı yardımıyla çalışanların sisteme erişim yetkilerini kontrol eder ve sınırlar.
• Kişisel verilere yetkisiz erişimin önüne geçilmesi için erişim yönetimi sağlar.
• Veri koruma ile ilgili sınıflandırma ve olay yönetimi süreçlerinin oluşturur.
• Kişisel verilerin tutulduğu kayıt ortamlarındaki güvenlik açıklıklarının tespiti ve aksiyonların alınmasına ilişkin düzenli denetimler yapar.
• Zararlı yazılımların BMS ağına erişmemesi için gerekli olan çözümleri kullanır.

7.1.2 İdari Tedbirler

BMS idari tedbirler kapsamında;

• Kişisel veri envanterleri oluşturarak, BMS bünyesinde işlenen kişisel verileri tespit etmiş ve kişisel verileri özelinde idari tedbirler almıştır.
• Kişisel verilerin yalnızca amacıyla sınırlı olarak işlenmesi ve aktarılması için iş süreçlerini gözden geçirmiştir.
• Kişisel verilerin amacına uygun işlenmesi için veri eksiltme ve veri minimizasyonu çalışmaları yapmıştır.
• Kişisel verilerin kanuna uygun olarak işlenmesi ve saklanması hususlarında bünyesinde istihdam ettikleri personellerine gerekli olan eğitimleri vermiş ve düzenli olarak vermektedir.
• Kişisel verilerin hukuka aykırı olarak işlenmesi veya başkaları tarafından elde edilmesi halinde bu durumu en kısa süre içerisinde ilgilisine ve Kurul’a bildirilmesini sağlayan Veri İhlal Prosedürünü hazırlamıştır.
• İşlenen ve saklanan kişisel verilere; kişisel verinin niteliğine göre erişebilecek personeli belirlemiş ve sınırlandırmıştır.
• Kişisel Veri Saklama ve İmha Politikası hazırlamış ve yayınlamıştır.
• İnternet sitesinde Kişisel Verilerin Korunması Politikasını yayınlamıştır.

7.2 Kişisel Verilerin İmhası

BMS tarafından kanun ve yönetmeliğe uygun olarak elde edilen kişisel veriler kanun ve yönetmelikte sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde re’sen yahut veri sahibinin başvurusu üzerine yine kanun ve yönetmelik hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

7.2.1 Kişisel Verilerin Silinmesi Teknikleri

BMS tarafından kişisel verilerin silinme teknikleri aşağıda açıklanmıştır:

Kâğıt Ortamında Bulunan Kişisel Veriler: Karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarındaki kişisel veriler, bu ortamlara uygun yazılımlar kullanılarak silinir.

Merkezi Sunucuda Yer Alan Ofis Dosyaları: Dosyanın işletim sistemindeki silme komutu ile silinir.

Veri Tabanları: Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile (DELETE vb.) silinir.

Hizmet Olarak Uygulama Türü Bulut Çözümleri: Bulut sisteminde veriler silme komutu verilerek silinir.

7.2.2. Kişisel Verilerin Yok Edilmesi Teknikleri

BMS tarafından kişisel verilerin yok edilmesi teknikleri aşağıda açıklanmıştır:

Yerel Sistemlerde Bulunan Kişisel Veriler: De manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden veriye uygun olanı kullanılarak yok edilir.

Çevresel Sistemlerde Bulunan Kişisel Veriler: BMS tarafından ortam türüne bağlı olarak çevresel sistemlerde bulunan kişisel verileri yok etmede kullanılabilecek yöntemler aşağıda yer almaktadır:

1) Ağ cihazları (switch, router vb): De manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

2) Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa <block erase> komutunu kullanmak, desteklenmiyorsa BMS’nin önerdiği yok etme yöntemini kullanmak ya da de manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

3) Manyetik bant: Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.

4) Manyetik disk gibi üniteler: Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.

5) Mobil telefonlar (Sim kart ve sabit hafıza alanları): De manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

6) Optik diskler: Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.

7) Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre yakma, küçük parçalara ayırma, eritme yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

8) Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.

Kâğıt ve Mikrofiş Ortamlarında Bulunan Kişisel Veriler: Kâğıt imha veya kırpma makineları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölerek yok edilir. Orijinal kâğıt formattan tarama yoluyla elektronik ortama aktarılan kişisel veriler ise bulundukları ortama göre uygun yöntemlerle yok edilirler.

7.2.3. Kişisel Verilerin Anonimleştirilmesi Teknikleri

BMS tarafından kişisel verilerin anonim hale getirilmesi teknikleri aşağıdaki tabloda ve devamında açıklanmıştır:

Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri

i. Değişkenleri Çıkartma

Değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılabilir.

ii. Kayıtları Çıkartma

Bu yöntemde ise veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği kayıtlardır. Örneğin; şirkette tek bir kıdemli mühendis varsa bu kişiye ait verilerin birbirleri ile aynı kademede bulunan çalışanların kıdem, maaş ve cinsiyet verilerinin tutulduğu kayıtlardan çıkarılması ile kalan veriler anonim hale getirilebilecektir.

iii. Bölgesel Gizleme

Bölgesel gizleme yönteminde de amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.

7.3. Diğer Hususlar

Bu politikada yer almayan hususlarda ve sonradan yapılan değişikliklerde yahut Politika ile mevzuat hükümlerinde uyumsuzluk olması hallerinde öncelikle kanun ve diğer mevzuat hükümleri uygulanır.

8. Saklama ve İmha Süreleri

9. Periyodik İmha Süresi

Periyodik imha süresi, yılda en az iki kez olmak koşuluyla, 6 ay olarak belirlenmiştir. En geç saklama sürelerinin bitimini takip eden ilk periyodik imha süresinde, imha işlemleri gerçekleştirilecektir.

10. Politika’nın Yayınlanması ve Yürürlüğe Girmesi

Politika, hem fiziki hem de elektronik ortamda yayınlanır ve yayınlandığı gün yürürlüğe girer.

11. Politika’nın Güncellenmesi ve Yürürlüğü

Politika, düzenli olarak gözden geçirilir ve gerekli görülmesi halinde güncellenir. Yapılan her güncelleme yayınlanmasının ardından yürürlüğe girmiş kabul edilir.