VERİ SAKLAMA VE İMHA POLİTİKASI
Kişisel Verilerin Korunması Kanunu Uyum Projesi kapsamında hazırlanmış işbu Veri Saklama ve İmha Politikası (bundan böyle “Politika” olarak anılacaktır.) 7 Nisan 2016 tarihinde 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “KVKK” ve/veya “Kanun” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hükümleri karşısında İstanbul Tıp Fakültesi Mezunlar ve Mensuplar Derneği (bundan böyle “İTFMED” ve/veya “Dernek” olarak anılacaktır.) mevcut durumunu tespit ederek bu tespitler çerçevesinde hukuken yapılması gerekenleri (bundan böyle “Saklama ve İmha Süreçleri” olarak anılacaktır.) belirlemek amacıyla hazırlanmıştır.
_______________________________________________________________________________________________________________
Bu Politika metninde yer alan tüm içeriklerin, bireysel kullanım dışında kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayımlanması ve dağıtılması yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır.
İÇİNDEKİLER
2. SORUMLULUK ve GÖREV DAĞILIMLARI
4. KİŞİSEL VERİLERİ SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
4.1. Saklamaya İlişkin Açıklamalar
4.1.1. Saklamayı Gerektiren Hukuki Sebepler
4.1.2. Saklamayı Gerektiren İşleme Amaçları
4.2. İmhayı Gerektiren Sebepler
4.3. Kişisel Verilerin İmha Yöntemleri
4.3.1. Kişisel Verilerin Silinmesi
4.3.2. Kişisel Verilerin Yok Edilmesi
4.3.3. Kişisel Verilerin Anonim Hale Getirilmesi
6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “KVKK” ve/veya “Kanun” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca, İTFMED tabi olduğu ilgili düzenlemeler, Kanun ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verilerin usulüne uygun saklanmasına ve gerektiği takdirde uygun yöntemler ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre sonunda imha edilmesine azami hassasiyet göstermektedir.
Nitekim bu hassasiyet doğrultusunda işbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”) hazırlanarak İTFMED tarafından gerçekleştirilmekte olan veri saklama ve imha faaliyetlerine ilişkin süreç yönetimlerinin usul ile esasları belirlenmiştir.
İTFMED faaliyetleri sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlenen yöntemler hakkında aşağıda açıklamalar yer almakta olup kişisel verilerin saklanması ve imhasına ilişkin süreç baştan sona işbu Politika uyarıca yürütülmektedir.
İTFMED tarafından işlenen kişisel verilerin elektronik ve/veya basılı her türlü ortamda saklanmasına ve imhasına ilişkin olarak hazırlanan işbu Politika KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenlemeler ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır.
İTFMED çalışanları, çalışan adayları, müşterileri, üyeleri, hizmet sağlayıcıları, tedarikçileri, iş ortakları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup İTFMED tarafından sahip olunan ve/veya İTFMED tarafından yönetilen tüm kişisel veri kayıt ortamları ile kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Alıcı Grubu |
: |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.
|
Açık Rıza |
: |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir.
|
Anonim Hale Getirme |
: |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
|
Çalışan |
: |
İstanbul Tıp Fakültesi Mezunlar ve Mensuplar Derneği çalışanlarıdır. |
Üye |
|
İstanbul Tıp Fakültesi Mezunlar ve Mensuplar Derneği üyesidir. |
Elektronik Ortam |
: |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.
|
Elektronik Olmayan Ortam |
: |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlardır.
|
Hizmet Sağlayıcı |
: |
İTFMED ile belirli bir sözleşme ilişkisi çerçevesinde bulunarak İTFMED’e hizmet sağlayan gerçek veya tüzel kişiyi ifade eder.
|
İlgili Kişi / Kişisel Veri Sahibi |
: |
Kişisel verisi işlenen gerçek kişilerdir. Kişisel veri tanımından anlaşılabileceği üzere Kanun’un koruması ancak gerçek kişiye ilişkindir ve bu kişi “ilgili kişi” olarak tanımlanmaktadır.
|
İlgili Kullanıcı |
: |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
|
İmha |
: |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
|
Kanun |
: |
6698 sayılı Kişisel Verilerin Korunması Kanunu
|
Kayıt Ortamı |
: |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam anlamına gelir.
|
Kişisel Veri |
: |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır.
|
Kişisel Veri İşleme Envanteri |
: |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri işlemenin hukuki sebebini, veri kategorisini, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter anlamına gelir.
|
Kişisel Verilerin İşlenmesi |
: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
|
Kişisel Verilerin Silinmesi |
|
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Kişisel Verilerin Yok Edilmesi |
|
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Kurul |
: |
Kişisel Verileri Koruma Kurulu. |
Kurum |
: |
Kişisel Verileri Koruma Kurumu. |
Özel Nitelikli Kişisel Veri |
: |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
|
Periyodik İmha |
: |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
|
Politika |
: |
Kişisel Verileri Saklama ve İmha Politikası |
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir.
|
Veri Kayıt Sistemi |
: |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
|
Veri Sorumlusu |
: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. |
Veri Sorumluları Sicil Bilgi Sistemi / VERBİS |
: |
Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini ifade eder.
|
Yönetmelik |
: |
28.10.2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir.
|
Tüm İTFMEDçalışanları ve çalışanların bağlı bulundukları departmanlar, kişisel verileri işleme faaliyetlerine ilişkin olarak işbu Politika kapsamında olup Politika doğrultusunda alınması öngörülen teknik, hukuki ve idari tedbirlerin gereği gibi uygulanması, veri koruma süreçlerine ilişkin eğitim ve farkındalık düzeylerinin arttırılması, periyodik olarak veya rastgele şekilde denetlenmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve kişisel verilere hukuka aykırı erişilmesinin önlenmesinden ve kişisel verilerin hukuka uygun saklanmasının sağlanmasından sorumludur.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır. Bu kapsamda kişisel verilerin saklanması ve imha edilmesi süreçlerinde görev alanların unvanları, departmanları ve görev tanımları aşağıdaki gibidir:
Unvan |
Departman |
Görev Tanımı |
[***] |
|
Politikanın yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi, idari tedbirlerin sağlanması ve uygulanmasından sorumludur. |
[***] |
|
Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin ve tedbirlerin sağlanmasından ve uygulanmasından sorumludur. |
[***] |
|
Çalışanların politikaya uygun hareket etmesinden, denetiminden ve genel koordinasyonundan sorumludur. |
İTFMEDtabi olduğu ticari ve hukuki düzenlemeler ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verileri aşağıda listelenen elektronik ve/veya elektronik olmayan ortamlarda tutmaktadır:
İTFMED tarafından çalışanlarına, çalışan adaylarına, müşterilere, hizmet sağlayıcılara, tedarikçilerine, iş ortaklarına, ziyaretçilere ve diğer üçüncü kişilere ait kişisel veriler Kanun ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak saklanmakta ve imha edilmektedir. Saklama ve imha süreçlerinin tamamında İTFMED tarafından tabi olunan hukuki düzenlemeler, ikincil mevzuat ve Kurum’un bağlayıcı görüş ve bildirimleri dikkate alınır.
İTFMED Dernek politikası olarak işlediği dönem için en güncel kişisel verileri mümkün olan en kısa süre için saklamayı, saklanan veriler bakımından olabildiğince minimizasyonu amaçlamakta ise de veri sorumlusu olarak İTFMED veri işleme amaçları ve hukuki sebepleri çerçevesinde yasal yükümlülüklerini de göz önünde bulundurarak işlemiş olduğu kişisel verileri belirli sürelerde saklar. Ancak kamu menfaati ve istatistiki amaçlar ile başkaca sebepler için yapılmış olan daha uzun süreli arşivleme çalışmaları söz konusu olduğunda bu sebepleri açıkça açıklamak suretiyle mümkün olan teknik ve idari her türlü uygun tedbiri alır. Bu durumda olay özelinde alınacak diğer tedbirlere ilişkin bilgilendirme bir protokol ile yapılacak olup ek düzenlemeler içeren bu protokol işbu politikanın ayrılmaz bir parçası olarak değerlendirilecektir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir:
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işleme faaliyetinin işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
İTFMED faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilmektedir ve bu kapsamda kişisel veriler aşağıdaki hukuki sebeplere dayalı olarak saklanmaktadır:
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 sayılı İşçi Sağlığı ve İş Güvenliği Kanunu,
4857 sayılı İş Kanunu,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
Gümrük İşlemlerinin Kolaylaştırılması Yönetmeliği
Yukarıda sayılı yasal düzenlemeler uyarınca yürürlükte olan diğer ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere diğer mevzuat hükümlerinde açıkça öngörülmesi,
İTFMED tarafından, taraf olduğu sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
İTFMEDiçin hukuki yükümlülüğünü yerine getirebilmesi bakımından zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, İTFMEDmeşru menfaatleri için veri işlenmesinin zorunlu olması.
Yukarıda detayı açıklanan İTFMEDfaaliyetleri çerçevesinde işlenen kişisel veriler aşağıda belirtilen amaçlarla sınırlı olarak işlenmektedir:
İnsan kaynakları süreçlerini yürütme,
Kurumsal iletişimi sağlama,
İşyeri güvenliğini sağlama,
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilme,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlama,
İTFMED ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlama,
Kanunen yükümlü olduğu iş ve işlemleri/uygulamaları yapma,
Olası hukuki uyuşmazlıklar için ispat yükümlülüğünü yerine getirme
Amaçları ile kişisel veriler işlenmekte ve işleme sırasında Kanun ile ikincil mevzuatı dikkate alınmaktadır.
Kişisel veriler:
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
İşlenen verinin güncelliğini kaybetmesi, doğruluğunu yitirmesi,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanun’un 11.maddesi gereği, ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun İTFMED tarafından kabul edilmesi,
İTFMED tarafından ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvurunun reddedilmesi, ilgili kişinin verilen cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında İTFMED tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, İTFMED tarafından resen ve/veya ilgili kişinin İTFMED bünyesine yaptığı başvuru üzerine aşağıda belirtilen tekniklerle imha edilir.
İTFMED tarafından işlenen kişisel veriler aşağıda belirtilen şekilde silinmektedir:
Veri Kayıt Ortamı |
Açıklama
|
|
|
|
|
|
|
|
Fiziksel ortamda tutulan ve saklama süresi sona eren kişisel veriler çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/ boyanarak/silinerek karartma işlemi de uygulanır.
|
*** İTFMED yukarıda belirtilen silme yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni silme yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği silme yöntemlerini kullanabilir. |
İTFMED tarafından işlenen kişisel veriler aşağıda belirtilen şekilde yok edilmektedir:
Veri Kayıt Ortamı |
Açıklama
|
|
Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz ve yeniden okunabilir hale gelmesi engellenecek biçimde bozulması sağlanır.
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.
|
|
|
|
|
|
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde (sheddar) geri döndürülemeyecek şekilde yok edilir.
|
*** İTFMED yukarıda belirtilen imha yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni imha yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği imha yöntemlerini kullanabilir. |
Kişisel verilerin anonim hale getirilmesi kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kağıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
İTFMED aşağıda belirtilen anonimleştirme yöntemlerinden bir ya da birkaçını kullanabilir :
Bölgesel Gizleme |
: |
Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
|
Değişkenleri Çıkarma |
: |
İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.
|
Genelleştirme |
: |
Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
|
Kanun ve/veya ilgili mevzuat ile ikincil düzenlemelerinde daha uzun bir süre düzenlenmiş olması ya da Saklamayı Gerektiren Hukuki Sebepler uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri ve benzeri için daha uzun bir süre öngörülmüş olması hali saklı kalmak kaydıyla İTFMED tarafından işlenen kişisel veriler bu politikanın ekinde yer alan Saklama ve İmha Tablosunda belirtilen yöntemlerle ve sürelerle saklanmakta ve saklama sürelerinin sonunda belirtilen yöntemlerle (Sayılan imha yöntemleri ile sınırlı kalmamak kaydıyla İTFMED’nin farklı imha yöntemleri kullanma hakkı saklıdır.) imha edilmektedir. (Bkz. EK- Saklama ve İmha Tablosu)
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında TASARIM HİKAYECİSİ, Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Periyodik imha süreçleri her 6 (altı) ayda 1 (bir) olmak üzere her yıl Haziran ve Aralık aylarında tekrar eder.
Kanun uyarınca kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı işlenmesinin ve/veya bu kişisel verilere hukuka aykırı erişilmesinin önlenmesi ayrıca Saklama ve İmha Süreçlerinin gerekliliği ilan edilen teknik ve idari tedbirlerin yapılandırılmış, güncellenmiş, efektif ve hesap verebilir bir şekilde İTFMEDtarafından alınması esastır.
İTFMED tarafından işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Sızma (Penetrasyon) testleri ile İTFMED bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
İTFMED bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
İTFMED içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
İTFMED silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli teknik tedbirleri almaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurul’a bildirmek için İTFMED tarafından buna uygun bir sistem ve altyapı oluşturulmuş, bu bildirimlere ilişkin İTFMED bünyesindeki sorumlu kişiler belirlenmiştir.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve / veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veri aktarımı gerçekleştirilmektedir.
Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
İTFMED tarafında işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Çalışanların konuya ilişkin farkındalığını artırmaya ve mesleki gelişimine katkıda bulunmaya, teknik bilgi becerilerini artırmaya yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka uygun şekilde muhafazasının sağlanması hakkında eğitimler verilmektedir.
İTFMED tarafından yürütülen faaliyetlere ilişkin çalışanlara, iş tanımı, tecrübesi, konuya ilişkin yetkinliği ve yönetim ve yönetişimdeki etkinliği dikkate alınarak hazırlanmış caydırıcı cezai yaptırımlar içeren gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik yaptırımlar uygulanacak olup, tüm süreçlere dair taahhütnameler alınmaktadır.
Kişisel veri işlemeye başlamadan önce İTFMED tarafından, ilgili kişileri aydınlatma yükümlülüğü Kanun’un aradığı şartlara uygun şekilde yerine getirilmektedir.
Dernek içi periyodik ve rastgele denetimler yapılmaktadır.
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da Bilgi İşlem Departmanı dosyasında saklanır.
Politika ihtiyaç duyuldukça ve herhalde her 6 (altı) ayda 1 (bir) olmak üzere her yıl Haziran ve Aralık aylarında gözden geçirilerek gerekli olan bölümler güncellenir.
Politika, [***] tarihinde yürürlüğe girmiş kabul edilir ve yürürlükten kaldırılmasına veya değiştirilmesine karar verilmesi halinde Yönetim Kurulu Kararı ile iptal edilerek yeni hali imzalanır ve internet sitesinde ivedilikle yayınlanır.