Kişisel Veri Saklama ve İmha Politikamız

1  AMAÇ

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), FORTE’nin kişisel veri saklama ve imha faaliyetlerine yönelik, FORTE tarafından benimsenen ve uygulanan yöntemler konusunda açıklamalarda bulunmak ve tüm ilgili tarafların bilgilendirilmesi amacı ile oluşturulmuştur.

FORTE’nin gerçekleştirdiği tüm kişisel veri saklama ve imha faaliyetleri, işbu Politika ’ya uygun olarak gerçekleştirilir.

2  KAPSAM

Bu doküman, FORTE tarafından ve FORTE adına kişisel veri işlenen tüm kişisel veri işleme süreçlerini kapsar.

3  TANIMLAMALAR VE KISALTMALAR

Bu doküman içinde geçen kısaltmalar ve tanımlar aşağıdaki gibidir:

Alıcı Grubu

:

FORTE ’nin kişisel verileri aktarıldığı gerçek veya tüzel kişiler

Açık Rıza

:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale Getirme

:

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Çalışan

:

FORTE çalışanları

Elektronik Ortam

:

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam

:

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Envanter

:

FORTE’nin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanter.

İlgili Kişi

:

Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı

:

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha

:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı

:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri İşleme/İşleme

:

Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi

Kurul

:

Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri

:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha

:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika

:

Kişisel Verileri Saklama ve İmha Politikası

Silme

:

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini

Veri İşleyen

:

FORTE’nin verdiği yetkiye dayanarak FORTE adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi

:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu

:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

VERBİS

:

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi, Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik

:

28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Yok Etme/Yok edilme

:

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

4  KAYIT ORTAMLARI

Elektronik Ortamlar

Elektronik Olmayan Ortamlar
FORTE EBYS, Ar-Ge Portal Kâğıt
Sunucular (Yedekleme, E-posta, Veri tabanı, Web, Uygulama, Active Directory vb.) Dosyalar
Yazılımlar (Microsoft Ofis Yazılımları, Zirve Bordro Yazılımı, Deskfor İK Yazılımı vb.) Ofis Dolapları
Bilgi güvenliği cihazları (güvenlik duvarı, anti-virüs vb.) Arşiv
Kişisel bilgisayarlar (Masaüstü, dizüstü)
Çıkartılabilir bellekler (USB, Harici Disk vb.)

5  SAKLAMA VE İMHASINI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

5.1  SAKLAMAYA İLİŞKİN AÇIKLAMALAR

Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmakta, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları belirtilmektedir. Buna göre, FORTE’nin faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun olan süre kadar saklanır.

Buna göre kişisel veriler iş faaliyetleri çerçevesinde ilgili mevzuatta öngörülen veya işleme amaçlarına uygun olarak ve işbu prosedürün 8. maddesinde belirtilen süre kadar saklanır.

5.2  SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

FORTE’nin faaliyetleri çerçevesinde işlenen kişisel veriler, aşağıdaki amaçlar doğrultusunda muhafaza edilir.

  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • Fiziksel Mekân Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
  • Lojistik Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Taşınır Mal ve Kaynakların Güvenliğinin Temini
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

5.3  İMHAYA İLİŞKİN AÇIKLAMALAR

  • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Açık rıza şartına istinaden kişisel veri işlenen hallerde, ilgili kişinin rızasını geri alması,
  • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  • İlgili kişinin, Kanun’un 11.maddesinden doğan hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun FORTE tarafından kabul edilmesi ya da FORTE tarafından talebin kabul edilmemesi üzerine İlgili Kişi tarafından Kurul’a yapılan başvuru üzerine Kurul’un İlgili Kişi’ nin talebini kabul etmesi ve bu durumu FORTE’ye bildirmesi.

6  UYGULANAN TEKNİK VE İDARİ TEDBİRLER

FORTE, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. ve 6/4 maddesi uyarınca Kurul’un kararlarında ve rehberlerinde belirlediği teknik ve idari tedbirleri alır.

6.1  İDARİ TEDBİRLER

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Kuruluş personeli ve ilgili taraflar ile taahhütnameler ve gizlilik sözleşmeleri imzalanmaktadır.
  • İş süreçleri üzerinde risk analizleri gerçekleştirilmektedir.
  • Kişisel veri envanterleri oluşturulmaktadır.
  • Kişisel veri işleme faaliyetleri hakkında eğitimler düzenlenmekte ve değerlendirilmektedir.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmektedir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Çalışanlar için Kişisel Verilerin Korunması Kanunu kapsamında farkındalık çalışmaları ve farkındalık eğitimleri düzenlenmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

6.2  TEKNİK TEDBİRLER

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik politika ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

7  KİŞİSEL VERİLERİ İMHA YÖNTEMLERİ

Bu Politika’ da yukarıda 6. maddede belirtilen şartların ortadan kalkması halinde, kişisel veriler FORTE tarafından kendiliğinden veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Bu hususta ilgili kişi tarafından FORTE’ ye başvurulması halinde;

  • İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlanır ve ilgili kişiye bilgi verilir,
  • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilir,
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri kendiliğinden silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilir ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilir.

7.1  SİLME

Basılı Doküman Üzerinde: Kişisel veriler geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili Kullanıcılara görünemez hale getirilir.

Dosya Sunucusunda (File Server): Dosya sunucusunda bulunan veriler silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde veriye erişme yetkisi olan kullanıcıların erişim haklarının kaldırılır.

Taşınabilir Ortamlarda: Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve veri silineceği zaman tekrar geri getirilemeyecek şekilde biçimlendirilir.

Veri Tabanında: Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir.

İşyeri Bilgisayarında: Kişisel verile kimlik doğrulama ile erişim sağlanır ve işletim sistemi komutları kullanılarak silinir.

7.2  YOK ETME

Basılı Doküman Üzerinde: Kişisel verilerin bulunduğu kâğıt ortamlar, kâğıt kırpma makinelerinde imha edilir.

Taşınabilir Ortamlarda: Flash tabanlı taşınabilir bellekler de-manyetize edilerek ya da parçalanarak imha edilir.

Sabit Diskler: Kişisel verilerin bulunduğu sabit diskler de-manyetize yöntemiyle ya da parçalanarak imha edilir.

7.3  ANONİM HALE GETİRME

FORTE, anonimleştirme için verinin bulunduğu ortam ve işleme türüne göre değişken çıkarma, gürültü ekleme, mikro birleştirme yöntemlerinden biri kullanılır.

Değişken Çıkarma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilir.

Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilir.

Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanır.

8  VERİ SAKLAMA VE İMHA SÜRELERİ

Veri saklama ve imha süreleri kişisel veri envanterinde detaylı olarak tutulur. Verilerin saklama ve imha süreleri aşağıda ve Veri Sorumluları Sicili Bilgi Sisteminde (VERBİS, https://verbis.kvkk.gov.tr ) belirtildiği gibidir.

Süreç

Saklama Süresi

Periyodik İmha Süresi
Çalışanlara İlişkin İnsan Kaynakları Süreçleri 10 yıl, Sağlık Bilgileri 15 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşterilere ilişkin veriler Ticari ilişkinin sona ermesinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşme Süreçleri Hukuki ilişkinin sona ermesinden itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Aydınlatma, bilgilendirme, izin ve açık rıza süreçleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

9  PERİYODİK İMHA SÜRESİ

FORTE, Yönetmeliğin 11 inci maddesine de uygun olarak periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, FORTE her yıl ocak ve temmuz aylarında periyodik imha işlemi gerçekleştirilir.

10  GÜNCELLENME PERİYODU

FORTE, Kanunda yapılan değişiklikler nedeniyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda veya herhangi bir nedenle ihtiyaç duyması halinde işbu Politika’ yı değiştirebilir, güncelleyebilir.

İşbu Politika’ da yapılan değişiklikler Forte, Kalite Güvence Departmanı tarafından FORTE-PRS-19 KYS Güncelleme Prosedürüne uygun olarak gerçekleştirilir.

11  FORTE ÇALIŞANLARININ KARŞILAŞABİLECEĞİ YAPTIRIMLAR

İşbu metinde yer alan hususlara kısmen ya da tamamen uyum sağlamayan Çalışanlar için FORTE-KB-06 Disiplin Esasları işletilir.

FORTE işbu metin başta olmak üzere KVKK kapsamındaki kuralların en iyi şekilde anlaşılması ve gündelik iş süreçlerinde bu kuralların uygulama alanı bulması adına, çalışanlarına yönelik olarak gerekli eğitim faaliyetlerini yürütmeye başlayarak eğitim faaliyetlerinin sürekliliğini sağlayacaktır.