GİRİŞ
İşbu Kişisel Veri Saklama Ve İmha Politikası (‘’Politika’’), 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) 7’nci maddesinin üçüncü fıkrası ve 22’nci maddesinin 1’inci fıkrası e bendi uyarınca Kişisel Verileri Koruma Kurumu tarafından yayınlanan Ki̇şi̇sel Veri̇leri̇n Silinmesi̇, Yok Edi̇lmesi̇ Veya Anoni̇m Hale Getirilmesi̇ Hakkında Yönetmelik (‘’Yönetmelik’’) 5 ve 6’ncı maddelerinde belirlenen hususlar gözetilerek ve ayrıca yönetmelikte düzenlenen ilgili diğer hükümlere uygun olarak Veri Sorumlusu sıfatıyla Robolink Teknoloji tarafından hazırlanmıştır.
Politika, Robolink Teknoloji organizasyonunda bulunan tüm kuruluşların imzalamasının ardından yürürlüğe girmiş kabul edilir.
İşbu Politika, sürelerde, ilgili mevzuatta ve içeriğinde bulunan diğer konularda değişiklikler olduğunda gözden geçirilir ve gerekli olan bölümler güncellenir. Güncellenen politika, Robolink Teknoloji internet sitesinde de eski versiyon kaldırılmak suretiyle güncelleme yapıldığına ilişkin versiyon bilgisi de yer alacak şekilde yeniden yayınlanır.
Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski versiyonu Robolink Teknoloji organizasyonundaki tüm daire başkanları tarafından iptal yazılarak tarihle beraber imzalanır ve en az 5 yıl süre ile Robolink Teknoloji tarafından saklanır.
AMAÇ
Kişisel Veri Saklama ve İmha Politikası, Robolink Teknoloji bünyesinde gerçekleştirilmekte olan iş ve işlemler kapsamında tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verilerin saklama ve imha faaliyetlerine ilişkin saklama sebeplerini, saklama ve imha sürelerini, yöntemleri, sorumlu kişileri ve diğer usul ve esasları belirlemek, Kanun ve Yönetmelik hükümleri ile tarafımıza yüklenen veri sorumlusu yükümlülüklerini yerine getirmek, T.C. Anayasası 20’nci maddesi ile düzenlenen kişisel verilerin korunmasını isteme hakkına önem vererek bu hak kapsamında ilgili kişilere güvence sağlamak amacıyla hazırlanmıştır.
Kişisel verilerin saklanmasına, silinmesine, yok edilmesine veya anonim hale getirilme yöntemlerinde biriyle imhasına ilişkin iş ve işlemler, Robolink Teknoloji tarafından hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.
KAPSAM
Bu politika, Robolink tarafından kişisel verisi işlenen çalışanları, çalışan adaylarını, stajyerleri, özel sektör personelini, hizmet sağlayıcıları, iş ortaklarını, platform kullanıcılarını ve proje katılımcılarını, ziyaretçileri, eski çalışanları, diğer üçüncü kişileri ve bu kişilere ait verilerin veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Robolink Teknolojinin sahip olduğu ya da yönettiği kişisel verilerin işlendiği tüm kayıt ortamlarında yürütülen kişisel veri işleme süreçlerini kapsamaktadır.
Bu politika, kişisel veri niteliği taşımayan veriler, Kanun kapsamına yer almayan veya Kanun’un uygulama alanında olup istisna tutulan faaliyetler ve veri işleme süreçleri bakımından uygulanmayacak olup bu konular politika kapsamı dışında kalmaktadır.
HUKUKİ VE TEKNİK TERİMLERİN TANIMLARI VE KISALTMALAR
TERİM | TANIM |
Alıcı Grubu | Robolink Teknoloji tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişileri ifade eder. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. |
Çerez | İnternet sitesi tarafından cihazlara yerleştirilen, internet sitelerinin belirli işlevleri gerçekleştirmesini, hatırlamasını, tercihleri depolamasını veya ölçümlemesini sağlayan küçük metin dosyalarıdır. |
Elektronik Ortam | Kişisel verilerin elektronik cihazlar (bilgisayarlar, akıllı telefonlar, tabletler, dijital kameralar vb.) aracılığıyla oluşturulabileceği, erişilebileceği, değiştirilebileceği ve kaydedilebileceği ortamları ifade eder. |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan kişisel verilerin fiziksel veya analog formatta oluşturulabildiği, erişilebildiği, değiştirilebildiği ve yazılabildiği ortamları ifade eder. Bu ortamlar, kağıt dokümanlar, el yazısı notlar, fotoğraflar ve benzeri fiziksel medya şekillerini içerir. Elektronik olmayan ortamlar, bilgisayar tabanlı teknoloji kullanımından önce ve hala yaygın olarak kullanılan geleneksel yöntemler ve materyalleri kapsar. |
Hizmet Sağlayıcı | Robolink Teknoloji ile aralarında yazılı/sözlü sözleşme veya hukuki ilişki bulunan ve bu kapsamda talep edilen hizmet çerçevesinde hizmet sağlayan gerçek veya tüzel kişiyi ifade eder. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişiyi ifade eder. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. |
Kanun | 24/3/2016 tarihli 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu politika kapsamında ayrıca belirtilmedikçe kişisel veri kavramı özel nitelikli kişisel verileri de kapsayacak şekilde kullanılmıştır. |
Kişisel Veri İşleme Envanteri | Robolink Teknolojinin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemini ifade eder. |
Kişisel Verilerin Silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. |
Kişisel Verileri Koruma Komisyonu | Robolink Teknoloji bünyesinde kişisel verilerin korunması uyum süreci kapsamında oluşturulmuş, Kanun ve ilgili mevzuat kapsamında kişisel verilerin korunması süreçlerini yöneten, organize eden komisyonu ifade eder. |
Kurul | Kişisel Verileri Koruma Kurulunu ifade eder. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder. |
Özel Sektör Personeli | Özel sektörde çalışan ve Robolink Teknoloji tarafından kişisel verisi işlenen gerçek kişileri ifade eder. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder. |
Personel | Robolink Teknoloji ile arasında iş akdi bulunan personeli ifade eder. |
Personel Adayı | Robolink Teknoloji bünyesinde görevlendirilmek üzere başvuru ve seçme süreçleri yürütülen personel adayını ifade eder. |
Platform Kullanıcıları | Robolink Teknoloji organizasyon ve yönetiminde bulunan, ilgili kişi ve kurumlara sunulan platformları kullanan gerçek kişileri ifade eder. |
Politika | Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları kişisel veri saklama ve imha politikasını ifade eder. |
Proje Katılımcıları | Robolink Teknoloji organizasyon ve yönetiminde bulunan projelere katılım sağlayan gerçek kişileri ifade eder. |
Stajyer | Robolink Teknoloji nezdinde veya Robolink Teknoloji tarafından yürütülen projeler kapsamında ilgili kurum ve kuruluşlarda staj yapacak gerçek kişileri ifade eder. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. |
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurul tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder. |
Yönetmelik | 28 Ekim 2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği ifade eder. |
KAYIT ORTAMLARI
Robolink Teknoloji tarafından işlenen ve saklanan kişisel veriler aşağıdaki ortamlarda Kanun’un 12’nci maddesinde belirtilen teknik ve idari tedbirlere uygun olarak muhafaza edilmektedir.
ELEKTRONİK ORTAMLAR | ELEKTRONİK OLMAYAN ORTAMLAR |
Sunucular (Yedekleme, e-posta, veritabanı, web, dosya transfer vb.) | Kâğıt |
Yazılımlar ve Uygulamalar (ofis içi yazılımlar, web sayfası vb.) | Manuel veri kayıt sistemleri (formlar)
|
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, log kayıtları, antivirüs vb. ) | Yazılı, basılı, görsel ortamlar |
Kişisel bilgisayarlar (Masaüstü, dizüstü) | Arşiv - Dolap - Klasör |
Mobil cihazlar (telefon vb.) | |
Optik diskler (CD, DVD vb.) | |
Çıkartılabilir bellekler (USB, Hafıza Kart vb.) | |
Yazıcı, tarayıcı, fotokopi makinesi |
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİ SORUMLU BİRİM UNVAN, KAPSAM VE GÖREV DAĞILIMI
Robolink Teknoloji birimleri ve personeli işbu Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, Kanun 12’nci maddesi ve ilgili hükümleri gereği kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun muhafazasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki tabloda belirtilmiştir.
BİRİM | UNVAN | GÖREV TANIMI |
Yönetim | YÖNETİCİ | Politikanın kurum içerisinde doğru şekilde uygulanması ve personelin bu politikaya ve ilgili mevzuata uygun hareket etmesinden sorumludur. |
Kişisel Verilerin Korunması Komisyonu | Komisyon Üyeleri | Tüm birimlerin işlediği kişisel veri süreçlerinin yönetimi ve takibi, işbu politikaya uygun hareket edildiğinin takibinden sorumludur. Politika’nın hazırlanması, yürütülmesi, yayınlanmasından sorumludur. |
Hukuk Müşavirliği | Hukuk Müşavirliği | Faaliyetleri ve görevlerine uygun olarak yetki sınırları çerçevesinde bünyesinde bulunan, toplanan, işlenen kişisel verilerin işbu politikaya uyumlu olarak yürütülmesinden sorumludur. |
Muhasebe | Muhasebe | Satın alma, ödeme, faturalandırma, stok ve müşteri takip sürecine ilişkin faaliyetleri ve görevlerine uygun olarak yetki sınırları çerçevesinde bünyesinde bulunan, toplanan, işlenen kişisel verilerin işbu politikaya uyumlu olarak yürütülmesinden sorumludur. |
İnsan Kaynakları | İnsan Kaynakları | Personel istihdam sürecinin faaliyetleri ve görevlerine uygun olarak yetki sınırları çerçevesinde bünyesinde bulunan, toplanan, işlenen kişisel verilerin işbu politikaya uyumlu olarak yürütülmesinden sorumludur. |
KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Robolink Teknoloji tarafından ilgili iş süreçleri ve faaliyet konuları kapsamında personele, personel adayına, platform kullanıcılarına, stajyere ve kişisel verisi işlenen diğer ilgili kişilere ait toplanan, işlenen ve aktarılan kişisel veriler Kanun’un 4’üncü maddesi ile düzenlenen genel ilkelere uygun olarak işlenmektedir. Ayrıca ilgili kişisel veriler Kanun’un 5 ve 6’ncı maddesinde düzenlenen işleme şartları kapsamında işlendikleri amaçla bağlantılı, sınırlı ve ölçülü ve hukuka uygun olarak işlenmektedir.
Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Muhafaza edilmesi süreçlerinde işbu politikada detayları belirtilen idari ve teknik tedbirler alınmaktadır.
Saklamayı Gerektiren ilgili Mevzuat
Robolink Teknoloji iş süreçleri ve faaliyetleri çerçevesinde işlenen kişisel veriler, aşağıda belirtilen ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
6698 sayılı Kişisel Verilerin Korunması Kanunu,
4857 Sayılı İş Kanunu,
6098 Sayılı Türk Borçlar Kanunu,
5510 Sayılı Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu,
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6361 Sayılı İş Sağlığı Ve Güvenliği Kanunu,
5434 Sayılı Emekli Sağlığı Kanunu,
213 Sayılı Vergi Usul Kanunu,
İşyeri Bina Ve Eklentilerinde Alınacak Sağlık Ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Kişisel Sağlık Verileri Hakkında Yönetmelik,
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Saklamayı Gerektiren Amaçlar
Robolink Teknoloji iş süreçleri ve faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
Personel seçme ve insan kaynakları süreçlerinin yürütülmesi
Şirket proje ve platformları kapsamındaki faaliyetlerin yürütülmesi
Bilgi güvenliğinin ve sistem güvenliğinin sağlanabilmesi, yapılan işlemlerin kayıtlarının tutulabilmesi, ilgili mevzuat hükümleri uyarınca yükümlülüklerimizin yerine getirilebilmesi
Bilgilerin ve şirket faaliyetlerinin gizliliğinin korunabilmesi, fiziksel mekân ve kişi güvenliğinin sağlanması
Firma içi eğitim faaliyetlerinin yürütülmesi, firma çalışanlarının eğitim ihtiyaçlarının karşılanması
Yetkili kişilerin tespiti
Eğitim ve geliştirme faaliyetlerinin yürütülmesi
Mal / Hizmet satın alım süreçlerinin yürütülmesi
Firma içi kullanılması gereken programı kullanacak kişinin yetkilendirilmesi, kullanıcı bilgilerinin gönderilmesi, kimlik doğrulama
Bilgi toplumu hizmetinin gereklerinin sağlanabilmesi, analitik verilerin toplanması
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak
Yasal raporlamalar yapmak
Kamu kurumlarındaki kariyer imkanlarının şeffaf bir şekilde kamuoyu ile paylaşılması
Finans ve muhasebe iş ve işlemlerinin yürütülmesi
Hukuksal işlerin takibi ve yürütülmesi
Organizasyon ve etkinlik yönetimi
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
Yönetim faaliyetlerinin yürütülmesi
Ziyaretçi kayıtlarının oluşturulması ve takibi
Görevlendirme süreçlerinin yürütülmesi
Envanter oluşturulması
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü
KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Kişisel veriler aşağıdaki durumlarda Robolink Teknoloji tarafından periyodik imha sürelerinde re’sen silinir, yok edilir veya anonim hale getirilir ayrıca ilgili kişinin talebi bulunması üzerine silinir, yok edilir.
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Robolink Teknoloji tarafından kabul edilmesi,
Robolink Teknoloji’nin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
İMHA YÖNTEMLERİ
Kanun’a ve hukuka uygun olarak işlenen kişisel veriler 4’üncü maddede düzenlenen genel ilkelere uygun olarak ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, 7’nci madde uyarınca işlenmesini gerektiren sebepler ortadan kalktığından resen veya ilgili kişinin talebi üzerine Robolink Teknoloji tarafından silinir, yok edilir veya anonim hâle getirilir. İlgili işlemler Kişisel Verileri Koruma Kurumu kararlarına, rehberlerine ve ilgili mevzuat hükümlerine uygun olarak aşağıdaki şekillerde gerçekleştirilir.
Kişisel Verilerin Silinmesi Yöntemleri
Elektronik Ortamda Yer Alan Kişisel Verileri Silme:
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Veri Tabanları, Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.
Fiziksel Ortamda (Kağıt vb.) Yer Alan Kişisel Verileri Silme:
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
Sunucularda Yer Alan Kişisel Verileri Silme:
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. Merkezi Sunucuda Yer Alan Ofis Dosyaları Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
Taşınabilir Medyada Bulunan Kişisel Verileri Silme:
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Fiziksel Ortamda Yer Alan Kişisel Verilerin Yok Edilmesi:
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt imha makinelerinde geri döndürülemeyecek şekilde yok edilir. Ayrıca bu belgeler gerekmesi halinde yakılmak suretiyle de yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Verilerin Yok Edilmesi:
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi ya da bir metal öğütücüden geçirmek gibi fiziksel olarak yok edilmesi işlemi uygulanır.
Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle (de- manyetize etme yöntemi) üzerindeki veriler okunamaz hale getirilir. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medya da fiziksel olarak yok edilir.
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi (üzerine yazma) de kullanılabilen yok etme yöntemlerindendir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
Bulut Ortamında depolanan veriler mevcutsa bulut bilişim hizmet ilişkisi sona erdiğinde kriptografik şekilde bulut ortamında tutulan kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilmektedir.
Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri
Anonim hale getirme kavramı işbu politikanın 4 numaralı maddesinde ‘’Hukuki Ve Teknik Terimlerin Tanımları Ve Kısaltmalar’’ başlığı altında tanımlanmış işlemi ifade etmektedir. Kanun’un 28’inci maddesinde düzenlenen ve Kanun uygulama alanı kapsamı dışında bırakılan istisnalardan birisi ‘’ Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi’’ olarak belirtilmiştir. Kişisel verilerin toplandıktan sonra anonim hale getirilerek ilgili istisna kapsamında yer alan bir faaliyette kullanılması durumu bu politikanın uygulama alanı dışında yer almaktadır. Anonim hale getirme işlemi birden fazla yöntemle yapılabilmektedir. Aşağıda en çok kullanılan yöntemlere yer verilmiştir.
Değişkenleri Çıkartma:
Değişkenlerden birinin veya birkaçının ilgili kişiyi yüksek derecede tanımlayabilecek bir husus olması, ulaşılmak istenen analitik amaca etkisinin olmaması, ifşa edilemeyecek bir veri olması nedenleriyle tablodan o sütün veya satırın bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir.
Kayıtları Çıkartma:
Kayıtları çıkarma yöntemi tekillik arz eden durumlarda değişkenin çıkartılması yerine yalnızca o tekil ve belirli kılan, veri toplanan grubu bilen kişilerin ilgili kişiyi kolayca tespit edebileceği kaydın çıkarılmasıdır. Kurum çalışanlarından toplanan bir veri grubunda çalışanların yalnızca birisini 25 yaş altı olduğu durumunda yaş kriterini çıkarmak yerine yalnızca o tekil kaydın çıkarılması bu yönteme bir örnek olarak verilebilir.
Genelleştirme:
Tek bir kişiyi ifade eden özel kayıtlar yerine bunların birden fazla kişiyle birlikte değerlendirilerek genel bir hale getirilmesi işlemidir. X adı Y soyadına sahip kişinin Rekabet Kurumu’nda 10 yılını doldurmasının ardından özel söktörde çalışmaya başladığı bilgisin Kamu kurumunda çalışan kişilerden 10 yılı dolduran kişilerin %20’sinin özel sektöre geçiş yapıyor olduğu bilgisine dönüştürülmesi işlemi genelleştirmeye verilebilecek bir örnektir.
Alt ve Üst Sınır Kodlama:
Belirlenen değişkenler için kategori tanımlaması yapılması böylece tekil kayıt oluşması riskinin azaltıldığı yöntemdir. 15- 35 yaş arasının genç, 35 - 55 yaş arasının orta, 55 - 75 yaş arasının yaşlı olarak tanımlanması bu yönteme örnek verilebilir.
Gürültü Ekleme:
Belirlenen bir veri değişkende belirlenebilir kılmayı önleyen bozulmalar sağlamak için ekleme ve çıkarmalar yapılır. Bozulma her değerde eşit ölçüde uygulanır. Tüm veri konusu kişilerin yaşlarına ilişkin değişkenin 5 yaş arttırılması bir örnek olarak verilebilir.
SAKLAMA VE İMHA SÜRELERİ
Robolink Teknoloji tarafından, faaliyetler kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
İlgili süreçler içerisindeki en uzun saklama süresine yer verilmiş olup sürece dair daha kısa saklama süresine sahip alt süreçler mevcut olabilmektedir.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Hukuki Süreçler | 40 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
Gelen - Giden Evrak Kayıtları | 30 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
Personel Özlük Dosyası Süreçleri (iş sözleşmesi, kimlik, iletişim, finans bilgileri, özgeçmiş, adli sicil kaydı ve özlük dosyasındaki diğer belgeler, görsel işitsel kayıtlar, zimmet işlemleri) | 101 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
Personel Bordro Süreçleri | 50 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
İş Kazası Süreçleri | 45 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
Personel Alımı Süreçleri (Duyurular, başvuru formları, özgeçmişler, kazanan ve kazanamayanların listeleri) | 10 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
İmha Tutanakları | 10 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.) | 10 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
Log Kayıt Takip ve işlem Güvenliği Sistemleri | 2 Yıl | Saklama süresi sona erdikten sonraki ilk periyodik imha sürecinde |
PERİYODİK İMHA SÜRELERİ
Yönetmeliğin 11’inci maddesi hükmü uyarınca periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, Robolink Teknoloji tarafından her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. Bu imha işlemi Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
TEKNİK VE İDARİ TEDBİRLER
Kanun 12’nci maddesi ile hüküm altına alınan veri güvenliğine ilişkin yükümlülüklere uygun olarak kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler Robolink Teknoloji tarafından alınmaktadır. Tedbirlere ilişkin detaylı bilgilere aşağıda yer verilmiştir.
Ayrıca özel nitelikli kişisel veriler işlenirken alınması gereken ve Kurum tarafından yayınlanan yeterli önlemlere ilişkin "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararına uygun olarak gerekli ve ilgili durumlarda bu önlemler de alınmaktadır.
Teknik Tedbirler
TEKNİK TEDBİRLER | AÇIKLAMA |
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. | Kullanılan ağların ve uygulamaların güvenliğini sağlamak amacıyla gerekli önlemler alınmaktadır. |
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. | Kapalı sistem ağ ile veri aktarımı yapılmaktadır. Ayrıca dosya transferleri, entegrasyon süreçleri kapsamındaki veri aktarımları Robolink Teknoloji tarafından geliştirilen sistem ve yazılımlar ile sağlanmaktadır. |
Anahtar yönetimi uygulanmaktadır. | Veriler gerekli ortamlarda şifreleme anahtarları ile tutulmaktadır. Bu anahtarlara ilişkin yönetim ve takip uygulanmaktadır. |
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. | Bakım, geliştirme ve diğer teknik süreçlerde bilgi teknoloji sistemlerine uzaktan erişimin güvenli yapılması ve takibi ile sözleşme hükümlerinin gizlilik içerecek şekilde düzenlenmesi gibi güvenlik önlemleri alınmaktadır. |
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. | Tüm ortamlarda tutulan kişisel verilerin güvenliğinin sağlanması noktasında gerekli önlemler alınamaktadır. |
Erişim logları düzenli olarak tutulmaktadır. | Robolink Teknoloji elektronik sistemlerinde, platformlarında ve projelerinde erişim logları zaman damgalı olarak kayıt altına alınmaktadır. |
Gerektiğinde veri maskeleme önlemi uygulanmaktadır. (Bilişim Sistemlerinde*) | Hem Robolink Teknoloji içi süreçlerde yetkisiz kişilerin bilgilere değişiminin önlenmesi hem de üçüncü tarafların erişimi olan sistemlerde veri güvenliğinin sağlanması amacıyla veri maskeleme yapılmaktadır. |
Erişim, bilgi güvenliği konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. | Erişim, bilgi güvenliği konularında uygulamalar yapılmaktadır. |
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. | Robolink Teknoloji personelinin projede görevlendirilmesi ya da işten ayrılması durumunda bu personelin önceki görevi kapsamındaki erişim ve yetkileri kaldırılmaktadır. |
Güncel anti-virüs sistemleri kullanılmaktadır. | Kullanılan anti-virüs sistemlerinin mevcut veya yeni virüslere ilişkin yaptığı güncelleme ve değişiklikler takip edilerek en güncel versiyonu kullanılmaktadır. |
Güvenlik duvarları kullanılmaktadır. | Güvenlik duvarı mevcuttur. |
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. | ‘’Gizli’’, ‘’Çok Gizli’’ ve ‘’Hizmete Özel’’ şeklinde gizlilik dereceli format kullanılmaktadır. |
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. | İlgili sistemler aracılığıyla kişisel veri güvenliği sorunları raporlanmaktadır. |
Kişisel veri güvenliğinin takibi yapılmaktadır. | Veri güvenliğinin takibi düzenli olarak yapılmaktadır. |
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. (Sunucu odası vb.*) | Giriş çıkışlar için erişim kontrolü sağlanmakta, yetkisiz giriş yapılıp yapılmadığı düzenli aralıklarla takip edilmektedir. |
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. (Sunucu odası vb.*) | Fiziksel ortamların güvenliğinin sağlanması için yangın söndürme, iklimlendirme sistemleri, yükseltme yapılması, klima kullanılması vb. önlemler alınmaktadır. |
Kişisel veri içeren ortamların güvenliği sağlanmaktadır. | Ortamın niteliğine uygun olarak güvenliği sağlamaya yönelik önlemler alınmaktadır. |
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. | Yedekleme yapılmaktadır. Yedekler farklı ortamlarda tutulmakta ve güvenlikleri sağlanmaktadır. |
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. | Robolink Teknoloji personeline ilişkin erişilebilecek sistemler, yetkilerin kontrolü ve hesap yönetimi konularında gerekli yöntemler uygulanmakta ve takip edilmektedir. |
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. | Robolink Teknoloji faaliyetleri kapsamında tutulan log kayıtları zaman damgalı olarak hashlenerek tutulmakta ve kullanıcı müdahalesi olmayacak şekilde muhafaza edilmektedir. |
Mevcut risk ve tehditler belirlenmiştir. | Robolink Teknoloji elektronik ve elektronik olmayan sistemlerine ilişkin risk ve tehditler takip ve tespit edilerek belirlenmektedir. |
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. | Tüm veri gönderim/alımları güvenli bir şekilde yapılmaktadır. |
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir. | Özel nitelikli kişisel veri işleme politikası mevcuttur. |
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. | Özel nitelikli kişisel veri farkındalık eğitimi düzenlenmiştir. Gizlilik sözleşmeleri mevcuttur. Bu verilere erişim yetkili kullanıcılar tarafından sağlanabilmektedir. |
Saldırı tespit ve önleme sistemleri kullanılmaktadır. | IDS ve IPS kullanılmaktadır. |
Sızma testi uygulanmaktadır. | Sızma testleri ile sistemlerimizdeki zafiyet ve risklerin tespit edilmesi amaçlanmaktadır. Test raporlarına göre zafiyet ve risklerin giderilmesi ve önlemlerin alınması yönünde çalışmalar yapılmaktadır. |
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. | Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. |
Şifreleme yapılmaktadır. | Şifreleme mevcuttur. Veriler ve bulunduğu ortamlar şifrelenmektedir. İlgili hesaplar ve sistemlere erişim şifrelidir. |
İdari Tedbirler
Çalışanların niteliğinin geliştirilmesine yönelik Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri/taahhütnameleri imzalatılmaktadır.
Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Açık rıza alınmasını gerektiren faaliyetlerde açık rıza alma ve hukuka uygun veri işleme yükümlülüğü yerine getirilmektedir.
Kişisel verilerin korunmasına ilişkin politika ve prosedürler oluşturulmuştur.
Saklama ve imha politikası oluşturulmuştur.
Sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Kişisel veri işleme envanteri hazırlanmıştır.
Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
GÜNCELLENME PERİYODU
Politika, gerekli olması, mevzuatta değişiklik olması veya ihtiyaç duyulması halinde gözden geçirilir ve güncellenir.