VERİ SAKLAMA, ANONİMLEŞTİRME VE İMHA POLİTİKASI


Veri Saklama, Anonimleştirme ve İmha Politikası

1. Amaç

Bu prosedürün amacı, bilginin elde edilmesi, işlenmesi ve saklanmasında kullanılan tüm basılı ve yazılı içerik, bilgi teknolojileri varlıkları ve çevre birimlerinin gerekli durumlarda güvenli ve 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ‘una uygun bir şekilde imha edilmesini sağlamak.

2. Kapsam

Prosedür tüm kişisel, ticari veri kayıtlarını ve iş süreçlerini kapsar.

3. Tanımlar

Kanun: 6698 “Kişisel verilerin korunması” kanununu ifade eder.

Kişisel Veri: Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder.

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,

Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi

veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza

mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirmesi işlemidir.

4. Referanslar

6698 Sayılı Kişisel Verilerin Korunması Kanunun 30224 Sayılı 28.10.2018 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik

5. Uygulama

5.1. Varlıkların İmhası

Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri ( Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi maddeleri ) kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.

Bilgi kayıt özelliğine sahip her türlü cihazın üzerindeki bilgiler yetkisiz erişime karşı silinir ve cihaz üzerindeki disk ve kayıt mekanizması fiziksel olarak tahrip edilir. Ortam/Cihaz İmha Tutanağı bilgi sistemleri operatörü tarafından doldurulur ve imzalanır. Tarih, cihaz bilgisi, imha sebebi vb. bilgiler girilerek imha işlemi kayıt altına alınır.

Verilerin Silinmesi Yöntemleri

a. Kâğıt Ortamında Bulunan Kişisel Veriler: Kağıt öğütücü ile imha edilerek ya da gerekli durumlarda karartma yöntemi kullanılarak silinmektedir.

b. Merkezi Sunucuda Yer Alan Ofis Dosyaları: İşletim sistemindeki silme komutu ile silinir.

c. Taşınabilir Medyada Bulunan Veriler: İşletim sistemindeki silme komutu ile silinir.

d. Veri Tabanları: Verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinir.

Varlıkların ve Verinin Yok Edilmesi Yöntemleri

a. Yerel Sistemlerde: De-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.

b. Çevresel Sistemler:

• Ağ cihazları (switch, router vb.): a maddesinde belirtilen uygun yöntemler ile yok edilir.

• Flash tabanlı ortamlar: İlgili üreticinin önerdiği yöntemler ya da a maddesinde belirtilen yöntemler ile yok edilir.

• Manyetik bant: De-manyetize ederek ya da yakma, eritme gibi fiziksel yöntemlerle yok edilir.

• Sim Kart ve sabit hafıza kartları: a maddesinde de belirtilen uygun yöntemler ile yok edilir.

• Optik diskler: yakma, küçük parçalara ayırma, eritme gibi fiziksel yöntemlerle yok edilir.

• Veri Kayıt Ortamı sabit olan çevre birimleri: a maddesinde belirtilen uygun yöntemler ile yok edilir.

c. Basılı Ortamlar: Kâğıt imha makinaları kullanılarak yok edilir. Orijinal kâğıt formattan tarama yoluyla elektronik ortama aktarılan Kişisel veriler ise bulundukları ortama göre uygun yöntemlerle yok edilirler.

Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri:

Kişisel verilerin Anonim hale getirilmesi aşamasında, Kişisel Verileri Koruma Kurumu’nun yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberinde gösterilen Kişisel Verilerin Anonim hale getirilmesi yöntemlerinden uygun olanı kullanılır.

Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi bünyesinde bulunan kayıt ortamından işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir. Tereddüt duyulan durumlarda ilgili veri sahibi iş biriminden görüş alınarak işlem yapılacaktır.