Menekşe Yatırım Yapı Ltd. Şti.
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI
I. AMAÇ, KAPSAM VE TANIMLAR
İşbu Kişisel Verilerin Saklanması ve İmhası Politikasının (“Politika”) amacı; MENEKŞE YATIRIM (“Şirket”) tarafından işlenen kişisel verilerin işlenme sürelerinin belirlenmesi ve işleme süresi ve/veya işleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kriter ve yöntemlerin ortaya konulmasıdır.
İşbu Politika; 6698 Sayılı Kişisel Verilerin Korunması Kanununun 7’nci maddesi uyarınca “veri sorumlusu” sıfatıyla MENEKŞE YATIRIM’ın tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollar ile işlediği, elektronik ve/veya kağıt ortamda yer alan ve işleme şartları sona ermiş tüm kişisel verileri silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerini kapsamaktadır.
İşbu politikada geçen;
· Alıcı grubu: Menekşe Yatırım tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
· İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,
· İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
· Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
· Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
· Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
· Pseudonymization (takma ad kullanma): Kişisel verilerin ilgili kişilerle bağlantısının kesilmesi amacıyla, ilgili kişi kimlik bilgileri yerine takma adların kullanılması (Örneğin Ahmet Yılmaz yerine Müşteri-12452 gibi)
· Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, ifade eder.
· Teknik kişi: MENEKŞE YATIRIM’ın işlediği kişisel verilerin hukuka uygun olarak imha edilmesini sağlamak amacıyla MENEKŞE YATIRIM nezdinde bu işten sorumlu kişiyi, ifade eder.
II. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER
MENEKŞE YATIRIM; bünyesindeki çeşitli departmanlar tarafından iş tanımları doğrultusunda yürütülen iş süreçleri ve bu süreçlere bağlı faaliyetleri gerçekleştirebilmek amacıyla çalışan, çalışan adayı, çalışan yakını, iş ortağı, tedarikçi, ziyaretçi, çevrimiçi ziyaretçilerine ait kişisel verileri işlemektedir. Bu kişisel verileri mevzuatta öngörülen veya ilgili departman tarafından kişisel veri işleme amacı çerçevesinde belirlenen süreler boyunca saklamaktadır. Tüm bu akış Kişisel Veri İşleme Envanterinde yer almaktadır. İlgili saklama süreleri sona erdiğinde ise, işbu Politika’da belirlenen silme, yok etme veya anonim hale getirme yöntemleri ile işleme amacı ortadan kalkan kişisel veriler imha edilmektedir.
III. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
MENEKŞE YATIRIM, kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir. Bu kapsamda, kişisel verilerin hatalı kullanımını, hukuka aykırı olarak işlenmesini, verilere yetkisiz erişimi, verilerin ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için gerekli önlemleri alır.
Menekşe Yatırım işlediği kişisel verilere hukuka aykırı erişimin engellenmesi, bu verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanmasına ilişkin olarak aşağıdaki teknik ve idari tedbirleri almaktadır:
Anti-Virüs: MENEKŞE YATIRIM’ın bilgi teknolojileri altyapısında bulunan tüm PC ve Sunucularda periyodik olarak güncellenen anti-virüs uygulaması yüklüdür.
Firewall: MENEKŞE YATIRIM sunucularını barındıran Data Center ve Felaket Kurtarma Merkezleri periyodik olarak güncellenen yazılım yüklü firewalllarca korunmakta olup, ilgili yeni nesil firewalllar tüm personellerin internet bağlantılarını kontrol etmekte ve bu kontrol sırasında virüs ve benzeri tehditlere karşı koruma sağlamaktadır.
VPN: Tedarikçiler MENEKŞE YATIRIM sunucu ya da sistemlerine Firewalllar üzerinde tanımlı bulunan SSL-VPN aracılığı ile erişim sağlayabilmektedirler. Her bir tedarikçi için ayrı SSL-VPN tanımı yapılmış olup, yapılan tanımlama ile tedarikçi sadece kullanması gereken ya da yetkilendirmesi yapılan sistemlere erişim sağlamaktadır.
Kullanıcı Tanımlamaları ve Need to Know: MENEKŞE YATIRIM çalışanlarının MENEKŞE YATIRIM sistemlerine olan yetkileri sadece iş tanımları ile gerekli olduğu ölçüde sınırlandırılmış olup, herhangi bir yetki ve görev değişikliği söz konusu olması durumunda sistemsel yetkileri de ivedi olarak güncellenmektedir.
Bilgi güvenliği Tehdit ve Olay Yönetimi: MENEKŞE YATIRIM sunucularında ve Firewallarında oluşan olaylar “Bilgi Güvenliği Tehdit ve Olay Yönetimi” sistemine aktarılmaktadır. Bu sistem güvenlik tehdidi oluştuğunda sorumlu personelleri uyarmakta ve ivedi bir şekilde tehdide cevap verilmesi imkanı sağlamaktadır.
Sızma Testi: Periyodik olarak MENEKŞE YATIRIM sistemindeki sunuculara, bilgisayarlarına sızma testi manuel olarak tedarikçi bir firma tarafından yapılmaktadır. Bu test sonucunda oluşan güvenlik açıkları kapatılarak, ilgili güvenlik açıklarının kapatıldığına dair doğrulama testi yapılmaktadır.
Clean Table & Clean Desk: MENEKŞE YATIRIM iç kuralları uyarınca Merkez ve Mağaza çalışanları “clean table & clean desk” prensibine uymakla yükümlüdür.
Diğer: Kişisel verilerin alındığı web sitesindeki tüm alanlar SSL ile korur. Birincil işleme amacı dışında kalan tüm ikincil veri işlemeler bakımından, Pseudonymization (takma adlı veri) yöntemini kullanır (Örnek: Ahmet Yılmaz à “A… Y…”). Kağıt ortamdaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlar. Hizmet alınan üçüncü taraflara ait çerezler aracılığıyla işlenen kişisel veriler, üyelik sona erdiği takdirde üçüncü taraflara ait sistemlerden silinmektedir.
MENEKŞE YATIRIM’nun gerekli bilgi güvenliği önlemlerini almasına karşın, MENEKŞE YATIRIM tarafından işletilen platformlara veya MENEKŞE YATIRIM sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, MENEKŞE YATIRIM bu durumu Kanun’da belirlendiği biçimde ilgili kişilere KVKK’ya bildirir.
IV. KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
MENEKŞE YATIRIM; işlediği kişisel verilerin hukuka uygun olarak imha edilmesini sağlamak amacıyla MENEKŞE YATIRIM nezdinde bu işten sorumlu bir kişi (“Teknik Kişi”) tayin edilmiştir.
Teknik Kişi; kişisel verilerin silinmesini, sadece ilgili kullanıcılar tarafından kişisel verinin işlenebileceği, ilgisi olmayan diğer tüm bölümler için verinin işlenemeyeceği şekilde sağlar. Elektronik ortamdaki kişisel veriler için gerekli olduğu ölçüde maskeleme yöntemleri kullanılır. Kağıt ortamdaki kişisel veriler için silme işlemi, silinmesi gereken kişisel verilerin karartılması şeklinde gerçekleştirilir.
IV.A. KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
· Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi
· Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi
· İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi
· İlgili kullanıcıların kişisel veriler kapsamında erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması
Kişisel Verilerin Silinmesi Yöntemleri
a) Hizmet Olarak Uygulama Türü Bulut Çözümleri: Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilmektedir.
b) Kağıt Ortamında Bulunan Kişisel Veriler: Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karatma işlemi ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
c) Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarındaki kişisel veriler şifreli olarak saklanmakta ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.
d) Veri Tabanları: Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmektedir.
İşleme amacı tamamen ortadan kalkan kağıt ve elektronik ortamdaki kişisel veriler Kişisel Verileri Koruma Kurumu tarafından yayımlanan Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Rehberine uygun olarak yok edilir veya yine bu Rehber’de öngörülen yöntemlerle anonim hale getirilir. Teknik Kişi tarafından gerçekleştirilen tüm silme, yok etme veya anonim hale getirme işlemleri elektronik ortamda zaman damgası ile loglanarak kayıt altına alınır. Kağıt ortamdaki kişisel veriler bakımından ise bu işlemlerin gerçekleştirildiğine ilişkin tutanak düzenlenir ve Teknik Kişi tarafından muhafaza edilir. Elektronik ve kağıt ortamdaki kişisel verilere ilişkin silme, yok etme veya anonim hale getirmeye ilişkin kayıtlar üç yıl süre ile saklanır. MENEKŞE YATIRIM; kişisel verileri saklama süreleri boyunca sadece ilgili departmanların bu verilere erişimini sağlayacak şekilde “silme” yöntemini kullanır. Saklama sürelerinin bitmesi ve kişisel verinin saklanmasını gerektirecek herhangi bir başka amacın mevcut olmaması halinde ise anonim hale getirme yöntemini kullanır.
IV.B. KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. MENEKŞE YATIRIM, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmektedir.
a) Yerel Sistemler: Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılmaktadır.
· Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir.
· Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en yaz yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
b) Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır:
· Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Gerektiğinde (a)’da belirtilen uygun yöntemlerin bir ya da bir kaçı kullanılmak suretiyle yok edilmektedir.
· Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, SSD, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
· Mobil telefonlar (Sim kart ve sabit hafıza alanları): Gerektiğinde (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
· Veri kayıt ortamı çıkartılabilir olan yazıcı gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
· Veri kayıt ortamı sabit olan yazıcı, gibi çevre birimleri: Gerektiğinde (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
c) Kağıt Ortamlar: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılığı olduğundan ana ortamın edilmesi yoluna gidilmektedir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmektedir.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
d) Bulut Ortamı: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hala getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi yoluna başvurulmaktadır.
e) Diğer: Yukarıdaki ortamlara ek olarak arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemi ise aşağıdaki şekilde gerçekleştirilir.
· İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
· Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
· Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması, gerekir.
IV.C. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Menekşe Yatırım, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Gerekli duruma göre aşağıdaki yöntemlerden bir veya birkaçına başvurulmaktadır:
· Değişkenleri Çıkartma
· Kayıtları Çıkartma
· Bölgesel Gizleme
· Genelleştirme
· Alt ve Üst Sınır Kodlama
· Global Kodlama
· Örnekleme
· Mikro Birleştirme
· Veri Değiş Tokuşu
· Gürültü Ekleme
· K-Anonimlik
· L-Çeşitlilik
· T-Yakınlık
V. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI
MENEKŞE YATIRIM; Kişisel Verilerin Saklanması ve İmhası Politikası kapsamında saklama ve imha süreçlerine ilişkin olarak Teknik Kişi atamıştır. Bu kişi, saklama ve imha süreçlerinin tamamının gerçekleştirilmesinden sorumlu tutulmuştur.
VI. SAKLAMA VE İMHA SÜRELERİ TABLOSU
Saklama ve imha süreleri tablosuna her bir departman bazında hazırlanmış Kişisel Veri İşleme Envanteri’nde yer verilmekte olup, yaşayan bir doküman olan ve ilgili departmanlarca zaman zaman güncellenecek Envanter’in takibi Teknik Kişi tarafından yapılarak aynı Kişi tarafından muhafaza edilmektedir. Örnek olması bakımından çeşitli kategorilerdeki saklama süreleri aşağıdaki tabloda belirtilmektedir:
|
Veri Tipi |
Saklama Süresi |
|
Müşterilere İlişkin Kişisel Veriler |
Hukuki ilişki sona erdikten itibaren 10 yıl; 6563 Kanun ve ilgili ikincil mevzuat uyarınca 3 yıl |
|
İş Çözüm Ortağı / Tedarikçilere İlişkin Kişisel Veriler |
Hukuki ilişki sona erdikten itibaren 10 yıl |
|
İş Başvurusu Sırasında Alınan CV ve Özlük Bilgileri |
2 yıl |
|
Çağrı Merkezi Ses Kayıtları |
3 yıl |
|
Çevrimiçi Müşterilere İlişkin Kişisel Veriler |
Hukuki ilişki sona erdikten sonra 10 yıl; 6563 Kanun ve ilgili ikincil mevzuat uyarınca 3 yıl |
|
Potansiyel Müşterilere İlişkin Kişisel Veriler |
1 yıl |
|
Ziyaretçilere İlişkin Kişisel Veriler (Kamera Kayıtları) |
1 ay |
|
Çevrimiçi Ziyaretçilere İlişkin Kişisel Veriler |
2 yıl |
|
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar |
10 yıl |
VII. PERİYODİK İMHA SÜRESİ
MENEKŞE YATIRIM; saklama süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel verileri, saklama süresinin sona ermesini takiben 6 ay içerisinde anonim hale getirir.
VIII. İLGİLİ KİŞİNİN TALEP ETMESİ DURUMUNDA KİŞİSEL VERİLERİN SİLME VE YOK ETME SÜRELERİ
İlgili kişi, MENEKŞE YATIRIM’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; MENEKŞE YATIRIM, talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. MENEKŞE YATIRIM, ilgili kişilerin silme veya yok etme taleplerini en geç “otuz gün” içinde sonuçlandırır.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa; MENEKŞE YATIRIM bu durumu üçüncü kişiye bildirerek söz konusu kişisel verilerin silinmesi veya yok edilmesini talep eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep MENEKŞE YATIRIM tarafından Kişisel Verilerin Korunması Kanunu’nun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç “otuz gün” içinde yazılı olarak ya da elektronik ortamda bildirilir.
IX. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASINDA YAPILACAK GÜNCELLEMELER
MENEKŞE YATIRIM işbu politikada yapılacak güncellemeleri revize edilen maddeler, revizyon ve onay tarihi ile birlikte web sitesinde yayımlar.
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.
|
DÖKÜMAN TARİHÇESİ |
||
|
Versiyon |
Yayın Tarihi |
Değişikliğin Tanımı |
|
v1.0 |
2023-Ocak |
Esas doküman. |