TRANS
ANTALYA NAKLİYAT İNŞAAT TURİZM TİC. VE SAN. LTD. ŞTİ. KİŞİSEL VERİ SAKLAMA ve İMHA
POLİTİKASI
Amaç
Kişisel
Verileri Saklama ve İmha Politikası (“Politika”), Trans Antalya Nakliyat İnşaat Turizm Tic. Ve
San. Ltd. Şti. (“Trans Antalya”) tarafından gerçekleştirilmekte
olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve
esasları belirlemek amacıyla hazırlanmıştır.
Trans
Antalya, işçileri, işçi adayları, tedarikçi çalışanları, tedarikçi yetkilileri,
ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası,
uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)
ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını
etkin bir şekilde kullanmasının sağlanmasına önem vermektedir.
Kişisel Verileri Nerede
Kaydediyoruz?
Kişisel
veriler, aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde
saklanır.
Elektronik Ortamlar Sunucular
(Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb ·
Yazılımlar
(ofis yazılımları, portal, EBYS, VERBİS.) ·
Bilgi
güvenliği cihazları (güvenlikü duvarı, saldırı tespit ve engelleme,
günlük kayıt dosyası, antivirüs vb. ) ·
Kişisel
bilgisayarlar (Masaüstü, dizüstü)ü ·
Mobil cihazlar
(telefon, tablet vb.)ü ·
Optik diskler
(CD, DVD vb.)ü ·
Çıkartılabilir
bellekler (USB, Hafızaü Kart vb.) ·
Yazıcı,
tarayıcı, fotokopi makinesi |
Elektronik Olmayan Ortamlar ·
Kâğıt ·
Manuel veri
kayıt sistemleri (anket formları,ü ziyaretçi
giriş defteri) ·
Yazılı, basılı,
görsel ortamlar |
Saklamaya İlişkin Açıklamalar
Kişisel
verileriniz ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre
kadar saklanır.
Saklamayı Gerektiren İşleme
Amaçları
Trans
Antalya, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki
amaçlar doğrultusunda saklar.
·
İnsan kaynakları süreçlerini yürütmek.
· İletişi süreçlerinin yürütülmesi
· Güveliğin sağlanması.
· İmzalanan sözleşmeler ve protokoller
neticesinde iş ve işlemleri ifa edebilmek.
·
VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri
sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit
etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde
güncellemek.
·
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki
yükümlülüklerin yerine getirilmesini sağlamak.
·
Hukuki yükümlülüklerin yerine getirilmesi
· İleride doğabilecek hukuki uyuşmazlıklarda
delil olarak ispat yükümlülüğü.
İmhayı Gerektiren Sebepler
· İşlenmesini veya saklanmasını gerektiren
amacın ortadan kalkması,
· Kişisel verileri işlemenin sadece açık rıza
şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri
alması,
·
Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel
verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Trans
Antalya tarafından kabul edilmesi,
·
Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
·
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve
kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın
mevcut olmaması,
durumlarında
Trans Antalya tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya
da re’sen silinir, yok edilir veya anonim hale getirilir.
TEKNİK VE İDARİ TEDBİRLER
Kişisel
verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin
önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Trans
Antalya, mevzuatta öngörülen teknik ve idari tedbirleri almaktadır.
Teknik Tedbirler
Trans
Antalya tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik
tedbirler aşağıda sayılmıştır:
·Sızma
(Penetrasyon) testleri ile Trans Antalya’nın bilişim sistemlerine yönelik risk,
tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler
alınmaktadır.
·Bilgi
güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim
sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak
izlenmektedir.
·Bilişim
sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki
matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile
yapılmaktadır.
·
Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için
gerekli önlemler alınmaktadır.
·Çevresel
tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal
(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol
sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar
anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi,
iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme
sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.)
önlemler alınmaktadır.
·Kişisel
verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu
risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere
yönelik teknik kontroller yapılmaktadır.
·
Trans Antalya içerisinde erişim prosedürleri oluşturularak kişisel verilere
erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
·Kişisel
verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz
erişimler veya erişim denemeleri kontrol altında tutulmaktadır. Trans Antalya, silinen kişisel verilerin
ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli
tedbirleri almaktadır.
·Kişisel
verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu
durumu ilgili kişiye ve Kurula bildirmek için Trans Antalya tarafından buna
uygun bir sistem ve altyapı oluşturulmuştur.
·Güvenlik
açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri
güncel halde tutulmaktadır. Kişisel
verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
·Kişisel
verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama)
sistemleri kullanılmaktadır.
·Kişisel
verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları
kullanılmaktadır.
·Elektronik
olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim
prensiplerine göre sınırlandırılmaktadır.
Trans Antalya internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla
şifrelenmektedir.
·Özel
nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
· Özel nitelikli kişisel veri işleme
süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği
konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim
yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
·Özel
nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte,
kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları
loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte,
gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test
sonuçlarının kayıt altına alınması,
·Özel
nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği
sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
·Özel
nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli
olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.
Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa
kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda
tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma
gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle
veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa
evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi
risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta
gönderilmektedir.
İdari Tedbirler
Trans
Antalya tarafından, işlediği kişisel verilerle ilgili olarak alınan idari
tedbirler aşağıda sayılmıştır:
·İşçilerin
niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak
işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin
önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri,
teknik bilgi beceri ve ilgili mevzuat hakkında eğitimler verilmektedir.
·
Trans Antalya tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik
sözleşmeleri imzalatılmaktadır.
·Güvenlik
politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin
prosedürü hazırlanmıştır.
·Kişisel
veri işlemeye başlamadan önce Trans Antalya tarafından, ilgili kişileri
aydınlatma yükümlülüğü yerine getirilmektedir.
·Kişisel
veri işleme envanteri hazırlanmıştır.
·
Trans Antalya içi periyodik ve rastgele denetimler yapılmaktadır.
·
İşçilere yönelik bilgi güvenliği eğitimleri verilmektedir.
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili
mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama
süresinin sonunda kişisel veriler, Trans Antalya tarafından re’sen veya ilgili
kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda
belirtilen tekniklerle imha edilir.
Kişisel Verilerin Silinmesi
Kişisel
verileriniz aşağıdaki yöntemlerle silinir:
Veri Kayıt Ortamı |
Açıklama |
Sunucularda Yer Alan Kişisel
Veriler |
Sunucularda
yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için
sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi
kaldırılarak silme işlemi yapılır |
Elektronik Ortamda Yer Alan
Kişisel Veriler |
Elektronik
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona
erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar)
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel
Veriler |
Fiziksel
ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler
için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için
hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca,
üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de
uygulanır |
Taşınabilir Medyada Bulunan
Kişisel Veriler |
Flash
tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını
gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve
erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla
güvenli ortamlarda saklanır. |
Kişisel Verilerin Yok Edilmesi
Kişisel
verileriniz, aşağıdaki yöntemlerle yok edilir.
Veri Kayıt Ortamı |
Açıklama |
Fiziksel Ortamda Yer Alan Kişisel
Veriler |
Kâğıt
ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona
erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan
Kişisel Veriler |
Optik
medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren
süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi
fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel
bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması
suretiyle üzerindeki veriler okunamaz hale getirilir. |
Kişisel Verilerin Anonim Hale
Getirilmesi
Kişisel
verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle
eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim
hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü
kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle
eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun
tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
SAKLAMA VE İMHA SÜRELERİ
Saklama
ve imha süreleri aşağıdaki gibidir.
Kişisel Veri |
Saklama Süresi |
İmha Süresi |
Kimlik
Verisi |
10
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
İletişim
Verisi |
10
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Lokasyon
Verisi |
1
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Özlük
Verisi |
10
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Hukuki
İşlem Verisi |
10
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Müşteri
İşlem Verisi |
10
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Fiziksel
Mekan Güvenliği Verisi |
1
ay |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
İşlem
Güvenliği Verisi |
5
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Mesleki
Deneyim Verisi |
10
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Görsel
Ve İşitsel Kayıtlar |
1
ay |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Sağlık
Verileri |
10
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Ceza
Mahkûmiyeti ve Güvenlik Tedbirlerine İlişkin Veriler |
10
yıl |
Saklama
süresinin bitimini takip eden ilk periyodik imha süresinde |
Periyodik İmha Süresi
Yönetmeliğin
11.maddesi gereğince Trans Antalya, periyodik imha süresini 6 ay olarak
belirlemiştir.
Politikanın Güncellenmesi
Politika,
ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.