Ville Esthétique - BURCU CEYLAN KİŞİSEL VERÄ° SAKLAMA VE Ä°MHA POLÄ°TÄ°KASI
Ä°ÅŸbu KiÅŸisel Veri Saklama ve Ä°mha Politikası, 6698 Sayılı KiÅŸisel Verilerin Korunması Kanunu ve Kanun’un ikincil düzenlemesini teÅŸkil eden KiÅŸisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kiÅŸisel verilerinizin iÅŸlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Ville Esthétique - BURCU CEYLAN tarafından hazırlanmıştır.
Tanımlar
Açık Rıza: Belirli bir konuya iliÅŸkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Ä°lgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kiÅŸi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doÄŸrultusunda kiÅŸisel verileri iÅŸleyen kiÅŸilerdir.
Ä°mha: KiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla iÅŸlenen kiÅŸisel verilerin bulunduÄŸu her türlü ortam. KiÅŸisel Veri: KimliÄŸi belirli veya belirlenebilir gerçek kiÅŸiye iliÅŸkin her türlü bilgi.
KiÅŸisel Verilerin Ä°ÅŸlenmesi: KiÅŸisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, deÄŸiÅŸtirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleÅŸtirilen her türlü iÅŸlem.
KiÅŸisel Verilerin Anonim Hale Getirilmesi: KiÅŸisel verilerin, baÅŸka verilerle eÅŸleÅŸtirilerek dahi hiçbir surette kimliÄŸi belirli veya belirlenebilir bir gerçek kiÅŸiyle iliÅŸkilendirilemeyecek hâle getirilmesi. KiÅŸisel Verilerin Silinmesi: KiÅŸisel verilerin silinmesi; kiÅŸisel verilerin Ä°lgili Kullanıcılar için hiçbir ÅŸekilde eriÅŸilemez ve tekrar kullanılamaz hale getirilmesi.
KiÅŸisel Verilerin Yok Edilmesi: KiÅŸisel verilerin hiç kimse tarafından hiçbir ÅŸekilde eriÅŸilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi iÅŸlemi.
Kurul:KiÅŸisel Verileri Koruma Kurulu.
Periyodik Ä°mha:Kanun’da yer alan kiÅŸisel verilerin iÅŸlenme ÅŸartlarının tamamının ortadan kalkması durumunda kiÅŸisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleÅŸtirilecek silme, yok etme veya anonim hale getirme iÅŸlemi.
Veri Sahibi/Ä°lgili KiÅŸi: KiÅŸisel verisi iÅŸlenen gerçek kiÅŸi.
Ä°lkeler
Ä°ÅŸletme tarafından kiÅŸisel verilerin saklanması ve imhasında aÅŸağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
• KiÅŸisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve iÅŸbu Politikaya tamamen uygun hareket edilmektedir.
• KiÅŸisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm iÅŸlemler iÅŸletme tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diÄŸer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.
• Kurul tarafından aksine bir karar alınmadıkça, kiÅŸisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, Ä°lgili KiÅŸinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
• Kanun’un 5. ve 6. maddelerinde yer alan kiÅŸisel verilerin iÅŸlenme ÅŸartlarının tamamının ortadan kalkması halinde, kiÅŸisel veriler iÅŸletme tarafından resen veya ilgili kiÅŸinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta Ä°lgili KiÅŸi tarafından iÅŸletmeye baÅŸvurulması halinde;
- Ä°letilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,
- Talebe konu verilerin üçüncü kiÅŸilere aktarılmış olması durumunda, bu durum verilerin
aktarıldığı üçüncü kiÅŸiye bildirilmekte ve üçüncü kiÅŸiler nezdinde gerekli iÅŸlemlerin yapılması temin edilmektedir.
Saklama ve Ä°mhayı Gerektiren Sebeplere Ä°liÅŸkin Açıklamalar
Veri sahiplerine ait kiÅŸisel veriler, iÅŸletme tarafından özellikle
(i) ticari faaliyetlerin sürdürülebilmesi,
(ii) hukuki yükümlülüklerin yerine getirilebilmesi,
(iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diÄŸer ilgili mevzuatta
belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
• KiÅŸisel verilerin sözleÅŸmelerin kurulması ve ifası ile doÄŸrudan doÄŸruya ilgili olması nedeniyle saklanması,
• KiÅŸisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• KiÅŸisel verilerin kiÅŸilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla iÅŸletmenin meÅŸru menfaatleri için saklanmasının zorunlu olması,
• KiÅŸisel verilerin iÅŸletmenin herhangi bir hukuki yükümlülüÄŸünü yerine getirmesi amacıyla saklanması,
• Mevzuatta kiÅŸisel verilerin saklanmasının açıkça öngörülmesi,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aÅŸağıda sayılan hallerde veri sahiplerine ait kiÅŸisel veriler, iÅŸletme tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
• KiÅŸisel verilerin iÅŸlenmesine veya saklanmasına esas teÅŸkil eden ilgili mevzuat hükümlerinin deÄŸiÅŸtirilmesi veya ilgası sebebiyle gerekli olması hali,
• KiÅŸisel verilerin iÅŸlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kiÅŸisel verilerin iÅŸlenmesini gerektiren ÅŸartların ortadan kalkması,
• KiÅŸisel verileri iÅŸlemenin sadece açık rıza ÅŸartına istinaden gerçekleÅŸtiÄŸi hallerde, ilgili kiÅŸinin rızasını geri alması,
• Ä°lgili kiÅŸinin, Kanun’un 11. maddesindeki hakları çerçevesinde kiÅŸisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine iliÅŸkin yaptığı baÅŸvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kiÅŸi tarafından kiÅŸisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan baÅŸvuruyu reddetmesi, verdiÄŸi cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a ÅŸikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• KiÅŸisel verilerin saklanmasını gerektiren azami sürenin geçmiÅŸ olmasına raÄŸmen, kiÅŸisel verileri
daha uzun süre saklamayı haklı kılacak herhangi bir ÅŸartın mevcut olmaması.
Saklama ve Ä°mha Süreleri
Ä°ÅŸletme tarafından Kanun ve diÄŸer ilgili mevzuat hükümlerine uygun olarak elde edilen kiÅŸisel verilerinizin saklama ve imha sürelerinin tespitinde aÅŸağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
• Mevzuatta söz konusu kiÅŸisel verinin saklanmasına iliÅŸkin olarak bir süre öngörülmüÅŸ ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aÅŸağıdaki madde kapsamında iÅŸlem yapılır.,
• Söz konusu kiÅŸisel verinin saklanmasına iliÅŸkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına iliÅŸkin olarak herhangi bir süre öngörülmemiÅŸ olması durumunda sırasıyla;,
- KiÅŸisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kiÅŸisel veriler ve özel nitelikli kiÅŸisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduÄŸu tespit edilen tüm kiÅŸisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliÄŸi ve saklanmasının iÅŸletme nezdindeki önem derecesine göre belirlenir.
- Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluÄŸu örneÄŸin; verinin saklanmasında iÅŸletmenin meÅŸru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teÅŸkil edebileceÄŸi tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
- Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüÅŸ olan istisnalardan hangisi/ hangileri kapsamında deÄŸerlendirilebileceÄŸi tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Ä°ÅŸletme tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, iÅŸbu Politika’nın ekinden ulaÅŸabilirsiniz. Saklama süresi dolan kiÅŸisel veriler, iÅŸbu Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla iÅŸbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. KiÅŸisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün iÅŸlemler kayıt altına alınır ve söz konusu kayıtlar, diÄŸer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler
Ä°ÅŸletmemizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri iÅŸlemenin zorunlu olması, müÅŸteri hizmetleri, tüketici hakları ve diÄŸer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, iÅŸletmemizin güvenliÄŸinin saÄŸlanması veya iÅŸletmemizin meÅŸru amaçları için kiÅŸisel verilerinizin iÅŸlenmesine gerek olması halinde toplanılacak olan kiÅŸisel veriler sistemine iÅŸlenmektedir. Buna ek olarak dijital kopya ÅŸeklinde saklanan tüm veriler iÅŸletmenin merkezinde bulunan server ve harici belleÄŸe kaydedilmektedir.
KiÅŸisel verilerinizin güvenli bir ÅŸekilde saklanması, hukuka aykırı olarak iÅŸlenmesi, eriÅŸilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Ä°ÅŸletme tarafından alınmış olan tüm idari ve teknik tedbirler aÅŸağıda sayılmıştır:
Ä°dari Tedbirler:
İşletme idari tedbirler kapsamında;
• Saklanan kiÅŸisel verilere iÅŸletme içi eriÅŸimi iÅŸ tanımı gereÄŸi eriÅŸmesi gerekli personel ile sınırlandırır. EriÅŸimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• Ä°ÅŸlenen kiÅŸisel verilerin hukuka aykırı yollarla baÅŸkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• KiÅŸisel verilerin paylaşılması ile ilgili olarak, kiÅŸisel verilerin paylaşıldığı kiÅŸiler ile kiÅŸisel verilerin korunması ve veri güvenliÄŸine iliÅŸkin çerçeve sözleÅŸme imzalar yahut mevcut sözleÅŸmesine eklenen hükümler ile veri güvenliÄŸini saÄŸlar.
• KiÅŸisel verilerin iÅŸlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kiÅŸisel verilerin korunması mevzuatı ve veri güvenliÄŸi kapsamında gerekli eÄŸitimleri verir.
• Kendi tüzel kiÅŸiliÄŸi nezdinde Kanun hükümlerinin uygulanmasını saÄŸlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
• KiÅŸisel verilerin bulunduÄŸu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını saÄŸlar ve bu ortamlara yetkisiz giriÅŸ çıkışları engeller.
Teknik Tedbirler:
İşletme idari tedbirler kapsamında;
• Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
• Kurulan sistemler kapsamında bilgi teknolojileri risk deÄŸerlendirmesi ve iÅŸ etki analizinin gerçekleÅŸtirilmesi süreçlerini yürütür.
• Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluÅŸturulmasını saÄŸlar.
• Düzenli olarak ve ihtiyaç oluÅŸtuÄŸunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü saÄŸlar.
• Bilgi teknolojileri birimlerinde çalışanların kiÅŸisel verilere eriÅŸim yetkilerinin kontrol altında tutulmasını saÄŸlar.
• KiÅŸisel verilerin yok edilmesini geri dönüÅŸtürülemeyecek ve denetim izi bırakmayacak ÅŸekilde saÄŸlar.
• Kanun’un 12. maddesi uyarınca, kiÅŸisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliÄŸi gereksinimlerini saÄŸlayacak ÅŸekilde ÅŸifreli veya kriptografik yöntemler ile korur.
• Özel nitelikli kiÅŸisel verileri üzerinde gerçekleÅŸen tüm hareketlerin iÅŸlem kayıtlarının güvenli olarak loglanmasını saÄŸlar.
• Verilerin bulunduÄŸu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını saÄŸlar.
• Özel nitelikli kiÅŸisel verilere bir yazılım aracılığı ile eriÅŸilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını saÄŸlar.
• Özel nitelikli kiÅŸisel verilere uzaktan eriÅŸim gereken hallerde en az iki kademeli kimlik doÄŸrulama sistemi saÄŸlar.
• Özel nitelikli kiÅŸisel verilerin aktarıldığı durumlarda;
- Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,
- Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile ÅŸifrelenmesini,
- Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleÅŸiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın saÄŸlanmasını,
- Verilerin kağıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini saÄŸlar.
KiÅŸisel Verileri Koruma Komitesinin Görev ve Yetkileri
KiÅŸisel Verileri Koruma Komitesi, Politika’nın ilgili iÅŸ birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. KiÅŸisel Verileri Koruma Komitesi kiÅŸisel verilerin korunmasına iliÅŸkin mevzuat deÄŸiÅŸiklikleri, Kurulun düzenleyici iÅŸlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki deÄŸiÅŸiklikler gibi durumları ilgili iÅŸ birimlerinin takip etmesi ve gerekiyorsa iÅŸ süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, deÄŸerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.
Politikanın YürürlüÄŸe Sokulması, Ä°hlal Durumları ve Yaptırımlar
• Ä°ÅŸbu Politika tüm çalışanlara duyurularak yürürlüÄŸe girecek ve yürürlüÄŸü itibariyle tüm iÅŸ birimleri, danışmanlar, dış hizmet saÄŸlayıcıları ve kiÅŸisel veri iÅŸleyen herkes için baÄŸlayıcı olacaktır.
• Çalışanların politikanın gereklerini yerine getirip getirmediÄŸinin takibi ilgili çalışanların amirlerinin sorumluluÄŸunda olacaktır. Politikaya aykırı davranış tespit edildiÄŸinde konu derhal ilgili çalışanın amiri tarafından baÄŸlı bulunan bir üst amire bildirilecektir.
• Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin KiÅŸisel Verileri Koruma Komitesi’ne bilgi verilecektir.
• Politikaya aykırı davranan çalışan hakkında, Ä°nsan Kaynakları tarafından yapılacak deÄŸerlendirme sonrasında gerekli idari iÅŸlem yapılacaktır.
EK-1 Personel Unvan,Birim ve Görev Listesi
EK-2 KiÅŸisel Verileri Saklama ve Ä°mha Sürelerini Gösteren Tablo
KiÅŸisel veriler politika'nın 4. maddesinde belirtilen hususlar dikkate alınarak aÅŸağıdaki tabloda belirtilen süreler boyunca saklanarak,süre sonunda ise anonim hale getirilecek veya yok edilecektir :
