Gizlilik Politikası
KİŞİSEL
VERİ SAKLAMA, İMHA VE ANONİMLEŞTİRME POLİTİKASI
- KAPSAM
1.1. İşbu
Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası ("Politika"),
www.mobilyah.com ("MOBİLYAH")
kişisel veri işlediği herhangi işleme dâhil tüm departmanları, çalışanları ve
3. partileri kapsar.
1.2. İşbu
Politika MOBİLYAH'in kişisel veriler üzerinde uygulayacağı tüm imha
faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda
uygulanacaktır.
1.3. Bu
Politika kişisel veri olmayan veriler için kullanılmayacaktır.
1.4. Konuyla
alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi
durumunda MOBİLYAH Politika'yı ilgili mevzuata uyumlu olacak şekilde
güncelleyerek mevzuat gerekliliklerine uyacaktır.
1.5. İşbu
Politika'nın MOBİLYAH tarafından uygulanmasında hukuki bir engel olduğuna
kanaat getirildiği durumlarda, MOBİLYAH uygulayacağı adımları yeniden
belirleyebilecektir.
- TANIMLAR
Açık
Rıza: Belirli bir konuya ilişkin
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Alıcı
Grubu: Veri sorumlusu tarafından kişisel
verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
Anonim
Hale Getirme / Anonimleştirme: Kişisel Verilerin, başka
verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini
ifade eder.
Anonim
Hale Getirilmiş Veri: Başka verilerle eşleştirilerek dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle getirilmiş veriyi ifade eder.
İmha: Kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
İlgili
Kullanıcı: Verilerin teknik olarak depolanması,
korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere
veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve
talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Kanun: 6698
Sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kayıt
Ortamı: Tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır.
Kişisel
Veri: Kimliği belirli veya belirlenebilir
gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında
“Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan Özel Nitelikli
Kişisel Veriler’i de kapsayacaktır).
Kişisel
Veri İşleme: Kişisel Verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veri üzerinde gerçekleştirilen her türlü
işlemi ifade eder.
Kişisel
Veri İşleme Envanteri: Veri sorumlularının iş
süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme
faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan
alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve
detaylandırdıkları envanterdir.
Kurul: Kişisel
Verileri Koruma Kurulu’dur.
Kurum: Kişisel
Verileri Koruma Kurumu’dur.
KVK
Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması
Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı,
düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar
tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri,
talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası
anlaşmaları ve diğer her türlü mevzuatı ifade eder.
KVK
Prosedürleri: Şirketin, çalışanların ve Veri Sorumlusu
Temsilcisinin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen
prosedürleri ifade eder.
Özel
Nitelikli Kişisel Veri: Kişilerin ırkı, etnik
kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları,
kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileri ifade eder.
Periyodik
İmha: Kanunda yer alan kişisel verilerin
işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri
saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen
gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Politika: MOBİLYAH'in Kişisel
Verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile
Silme, Yok Etme ve Anonim Hale Getirme işlemi için dayanak yaptığı Kişisel Veri
Saklama, İmha ve Anonimleştirme Politikasıdır.
Sicil: Veri
Sorumluları Sicilidir.
Silme
veya Silinme: Kişisel Verilerin İlgili Kullanıcılar
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade
eder.
Veri
Envanteri: Şirketin iş süreçlerine bağlı olarak
gerçekleştirmekte olduğu Kişisel Veri İşleme faaliyetlerini; Kişisel Veri
İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı Alıcı Grubu ve
veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Verilerin
İşlendiği amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı
öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri
açıklayarak detaylandırdıkları envanteri ifade eder.
Veri
Kayıt Sistemi: Kişisel verilerin belirli kriterlere
göre yapılandırılarak işlendiği kayıt sistemidir.
Veri
Öznesi: Kişisel Verileri Şirket tarafından veya
Şirket adına işleme sokulan tüm gerçek kişileri ifade etmektedir.
Veri
Sorumlusu: Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişidir.
Veri
Sorumlusu Temsilcisi: Şirketin Kurum ile olan ilişkilerini
yürüten ve yönetim kurulu kararı ile atanan çalışanı ifade etmektedir.
Yönetmelik: Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında
Yönetmelik’tir.
Yok
Etme: Kişisel Verilerin, hiç kimse tarafından
hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale
getirilmesi işlemini ifade eder.
Gizlilik Politikamızda
yer alan tanımlar bu Politika için de geçerlidir.
- AMAÇ
3.1. İşbu
Politika, Kanunun 7.maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan
Kişisel Verilerin Silinmesinden, Yok Edilmesinden veya Anonim Hale
Getirilmesinden sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve
MOBİLYAH ile MOBİLYAH'in sözleşmesel olarak sorumlu kıldığı üçüncü kişiler
tarafından uyulması gereken esasları belirleyecektir.
3.2. Yönetmelik
uyarınca MOBİLYAH, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak,
Kişisel Verileri, uhdesinde bulunan Veri Envanteri’ne uygun bir şekilde
saklamak ve gerektiğinde Silmek, Yok Etmek ya da Anonim Hale Getirmek için bir
Politika hazırlamak ve bu Politikaya uygun hareket etmek ile yükümlüdür. Bu
kapsamda MOBİLYAH sayılan yükümlülükleri yerine getirmek amacıyla işbu
Politika’yı hazırlamıştır.
3.3. Kişisel
Verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:
3.3.1. Kanunun
4. maddesindeki genel ilkelere ve Yönetmelik’in 7. maddesindeki ilkelere
uyulacaktır.
3.3.2. MOBİLYAH,
işbu Politikayı hazırlamış olmanın tek başına Kişisel Verilerin Yönetmelik,
Kanun ve KVK Düzenlemelerine uygun olarak Silindiği, Yok Edildiği veya Anonim
Hale Getirildiği anlamına gelmeyeceğini kabul etmektedir.
3.3.3. MOBİLYAH,
Kişisel Verileri saklarken yahut Silerken, Yok Ederken veya Anonim Hale
Getirirken, Kanunun 12. maddesinde yer alan güvenlik tedbirlerine, KVK
Düzenlemelerine ve Politikaya uygun hareket edeceğini kabul, beyan ve taahhüt
eder.
3.3.4. MOBİLYAH,
bünyesinde bulundurduğu Kişisel Verilerin amacı tamamen veya kısmen otomatik
olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla işlenen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim
Hale Getirilmesi sırasında İşbu Politika’ya ve Politika’ya bağlı olarak
uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.
- KAYIT ORTAMLARI
4.1. MOBİLYAH, işbu
Politika ile Kişisel Veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara
ek olarak ortaya çıkabilecek diğer ortamlardaki Kişisel Verileri Politikanın
kapsamına dâhil etmeyi kabul eder:
4.1.1. MOBİLYAH
adına kullanılan bilgisayarlar/sunucular
4.1.2. Ağ
cihazları,
4.1.3. Ağ
üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri
4.1.4. Bulut
sistemleri
4.1.5. Mobil
telefonlar ve içerisindeki tüm saklama alanları,
4.1.6. Kağıt,
4.1.7. Mikrofiş,
4.1.8. Yazıcı,
Parmak izi okuyucu gibi çevre birimler,
4.1.9. Manyetik
bantlar,
4.1.10. Optik
diskler,
4.1.11. Flash
hafızalar
- KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN DURUMLAR
Aşağıda
belirtilen kapsamda bir ihlal olması durumunda Potansiyel Güvenlik ihlal durumu
kabul edilerek MOBİLYAH tarafından aksiyon alınacaktır. MOBİLYAH, kişisel
verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve
erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri
alır.
5.1. Kişisel
Verilerin Saklanmasını Gerektiren Durumlar
MOBİLYAH;
(i) kanunlarda açıkça öngörülmesi, (ii) fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel
verilerin işlenmesinin gerekli olması, (iv) hukuki yükümlülüğün yerine
getirebilmesi için zorunlu olması (v) bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması, (vi) Veri Öznesi’nin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri
için veri işlenmesinin zorunlu olması hallerinde Kişisel Verileri mevzuata
uygun olarak saklamakla yükümlüdür. MOBİLYAH ayrıca; (i) Açık Rıza alınması,
(ii) Kanun’un 5(2) ve 6(3) maddelerinde yer verilen istisnaların bulunması
durumunda Kişisel Verileri saklama hakkını haizdir.
5.2. Kişisel
Verilerin İmhasını Gerektiren Durumlar
5.2.1. Kanun’a
Aykırılık
MOBİLYAH,
kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini
taahhüt eder.
MOBİLYAH,
Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki
istisnalar mevcut olmadığı sürece;
- a)Kanun’da belirtilen istisnalar dışında açık
rızasını almadığı kişilerin kişisel verilerini saklamaz.
- b)MOBİLYAH, özel nitelikli kişisel verileri
sakladığı durumlarda, verileri ilgili mevzuata bağlı kalarak işler. Bu
kapsamda Kanun’un 6(4) maddesi kapsamında Kurul tarafından belirlenmiş ya
da belirlenecek tedbirleri alır.
5.2.2. Veri
İşleme Şartlarının Ortadan Kalkması
MOBİLYAH,
veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm
çalışanları ile paylaşır.
Çalışanlar,
veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam
edemez. MOBİLYAH İlgilileri, şartların ortadan kalktığı ortamları İşbu
Politika’ya uygun bir şekilde ortadan kaldırmakla yükümlüdür.
MOBİLYAH
aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri
işlenme şartlarının ortadan kalktığını kabul eder:
- a)Kişisel verileri işlemeye esas teşkil eden ilgili
mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
- b)Taraflar arasındaki sözleşmenin hiç kurulmamış
olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona
ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
- c)Kişisel verilerin işlenmesini gerektiren amacın
ortadan kalkması,
- d)Kişisel verileri işlemenin hukuka veya dürüstlük
kuralına aykırı olması,
- e)Kişisel verileri işlemenin sadece açık rıza
şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri
alması,
- f)İlgili kişinin, Kanunun 11 inci maddesinin (e) ve
(f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine
ilişkin yaptığı usule uygun başvurunun veri sorumlusu temsilcisi
tarafından kabulü,
- g)Veri sorumlusunun, ilgili kişi tarafından kişisel
verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan
başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda
öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette
bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- h)Kişisel verilerin saklanmasını gerektiren azami
süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı
haklı kılacak herhangi bir şartın mevcut olmaması.
- KİŞİSEL VERİLERİN SAKLANMASI, İŞLENMESİ VE İMHASI İÇİN ALINAN
TEDBİRLER
MOBİLYAH,
Kişisel Verilerin hukuka uygun şekilde saklanması, işlenmesi ve erişimini
sağlamak için korunacak verinin niteliği, teknolojik imkanlar ve uygulama
maliyetlerine göre teknik ve idari tedbirler almaktadır.
6.1. Teknik
Tedbirler
MOBİLYAH
tarafından Kişisel Verilerin hukuka aykırı saklanması, işlenmesi ve erişimini
engellemek adına alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
6.1.1. Teknolojideki
gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak
güncellenmekte ve yenilenmektedir.
6.1.2. İş
birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak yetki
matrisi oluşturulmuş, kişisel hesap yönetimi sistemi kurulmuş ve şifreleme
sistemleri aktive edilmiştir.
6.1.3. Bu
kapsamda virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve
donanımlar kurulmakta, log kayıtları tutulmakta, düzenli yedeklemeler
yapılmaktadır.
6.1.4. Ağ
güvenliğini sağlamak için gerekli yazılım ve donanım kurulmakta, yetki
kontrolleri ve sızma testleri 6 aylık aralıklarla gerçekleştirilmektedir. Bu
kapsamda güvenlik duvarları ve saldırı tespit ve önleme sistemleri
kullanılmaktadır.
6.1.5. Alınan
teknik önlemler periyodik olarak iç denetim mekanizması gereği veri sorumlusuna
raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli
teknolojik çözüm üretilmektedir.
6.1.6. Açık
Rıza alınmayan ve kanuni istisnalar arasına girmeyen veriler maskelenerek
kullanılmaktadır.
6.1.7. Teknik
konularda bilgili personel istihdam edilmektedir.
6.2. İdari
Tedbirler
MOBİLYAH
tarafından Kişisel Verilerin hukuka aykırı saklanması, işlenmesi ve erişimini
engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
6.2.1. MOBİLYAH çalışanlarını
Kişisel Verileri Koruma mevzuatı kapsamında bilgilendirmiş ve bu konuda gerekli
eğitimlerden geçirmiştir. Eğitimler kapsamında, çalışanlara rolleri ve
sorumlulukları anlatılmış, “yasaklanmadıkça her şey serbest” değil “izin
verilmedikçe her şey yasak” prensibi hakkında bilgilendirme yapılmıştır.
Çalışanlar ile öğrendikleri Kişisel Verileri KVK Düzenlemelerine aykırı olarak
başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu
yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda gizlilik
sözleşmesi imzalanarak Kişisel Verilerin korunması adına gerekli taahhütler
alınmıştır. Bu kapsamda çalışan iş sözleşmeleri ve disiplin yönetmeliklerine
Kanun’a uygun hükümler eklenmiştir. Şirket içi organizasyonlarında, bu
taahhütlere ve sair gizlilik yükümlülüklerine uyulmaması durumunda işletilecek
disiplin süreçleri hazırlanmıştır.
6.2.2. MOBİLYAH
çalışanlarını 6 aylık aralıklarla bilgilendirmeye devam edeceğini ve
bilgilerini güncel tutacağını taahhüt etmektedir.
6.2.3. Sicile
bildirim yapılabilmesi için gerekli hazırlıklarını tamamlamıştır.
6.2.4. İş
birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel
Verilere erişim ve yetkilendirme süreçleri tasarlanmış ve uygulanmaktadır. 6
6.2.5. MOBİLYAH tarafından
Kişisel Verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen
sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin
korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler
eklenmektedir.
6.2.6. Erişim,
bilgi güvenliği, kullanım, saklama ve imha konularında işbu Politika kapsamında
gerekli düzenlemeleri yapmıştır.
6.2.7. Veri
Envanteri hazırlanmış ve Kişisel Verilerin işlenmesi, muhafazası ve
aktarılmasına ilişkin sözleşmelerde gerekli hükümlere yer vermiştir.
6.2.8. Kurum
İçi Periyodik ve/veya Rastgele Denetimler için gerekli hazırlıklar yapılmıştır.
Risk Analizleri gerçekleştirilerek gerekli önlemler alınmıştır.
6.2.9. İhlal
durumunda kurumsal iletişim prosedürleri ve bilgilendirme süreçleri işbu
Politika’da belirlenmiştir.
6.3. Kişisel Verilerin
Korunması Konusunda Alınan Tedbirlerin Denetimi
MOBİLYAH,
KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde görevlendirdiği
Veri Sorumlusu Temsilcisi aracılığı ile gerekli denetimleri yapmakta veya yaptırmaktadır.
Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme
raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler
yürütülmektedir.
- KİŞİSEL VERİLERİN YETKİSİZ BİR ŞEKİLDE İFŞASI
MOBİLYAH
Kanun’da, KVK Düzenlemelerinde ve işbu Politikada yer verilen Kişisel veri
güvenliği yükümlülüklerinin ihlali durumunda izlenecek prosedürü işbu Politika
kapsamında düzenlemiştir.
7.1.
MOBİLYAH Bünyesinde Gerçekleşen İhlaller
Bir
MOBİLYAH çalışanı herhangi bir ihlal tespit etmesi veya olası bir ihlalle
karşılaşması durumunda ilgili departman direktörünü durumdan derhal haberdar
eder, ihlalin nasıl farkına varıldığı ve nereden kaynaklandığı konusunda
departman sorumlusunu bilgilendirir. Departman direktörü ihlali devam ediyorsa
durdurmak ve sona ermişse boyutunu tespit etmek adına ilk önlemleri alır ve
Veri Sorumlusu Temsilcisini durumdan haberdar eder. Veri sorumlusu temsilcisi,
ihlal karşısında önlem alması için IT departmanından destek alır ve hukuk
departmanı ile iletişime geçer. Veri Sorumlusu temsilcisi; ihlalin boyutu,
kapsamı ve sonuçlarını raporlayarak Yönetim Kurulu ve Kurum ile paylaşır.
7.2. Üçüncü
Kişiler Bünyesinde Gerçekleşen İhlaller
Veri
sorumlusu temsilcisi, MOBİLYAH'in çalıştığı üçüncü bir kişinin herhangi bir
ihlal tespit etmesi veya olası bir ihlalle karşılaşması durumunda, haber
verilmesini takip eden 12 saat içerisinde hukuk departmanı ve gerekiyorsa IT
departmanı ile iletişime geçer. Veri sorumlusu temsilcisi; ihlalin boyutu,
kapsamı ve sonuçları hakkında karşı taraftan elde ettiği bilgileri raporlayarak
Yönetim Kurulu ve Kurum ile paylaşır.
- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİNE
İLİŞKİN YÖNTEMLER
Kişisel
Verilerin İmhası, verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç,
kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. MOBİLYAH,
Kişisel Verilerin hukuka uygun olarak Silinmesi, Yok Edilmesi ve Anonim Hale
Getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
8.1. Kişisel
Verilerin Silinmesi
Kişisel
verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin
silinmesi yöntemi olarak MOBİLYAH aşağıdaki yöntemlerden bir veya birkaçını
kullanabilir:
- Kağıt ortamında bulunan kişisel veriler bakımından karartma yöntemi
ile çizilerek, boyanarak, kesilerek veya silinerek işlem uygulanacaktır.
- Merkezi sunucuda yer alan ofis dosyaları için kullanıcı(lar)nın erişim
hakkı(ları) ortadan kaldırılacaktır.
- Veri tabanlarında bulunan kişisel bilgilerin bulunduğu satırlar yahut
sütunlar ‘Delete’ komutu ile silinecektir.
- Bulut sistemindeki veriler silme komutu ile silinecektir.
- Taşınabilir medyada bulunan kişisel
veriler şifreli olarak saklanacak ve gerektiğinde bu ortamla uygun
yazılımlar kullanılarak silinecektir.
- Gerekli olduğu zaman bir uzman tarafından yardım alınarak güvenli
olarak silinecektir.
8.2. Kişisel
Verilerin Yok Edilmesi
Kişisel
verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok Etme işlemleri sırasında MOBİLYAH çalışanları ve ilgili
departmanlar Veri sorumlusu temsilcisi’ne yok edilecek ilgili
verileri bildirmekle yükümlüdür, sonrasında ise MOBİLYAH gerekli her türlü
teknik ve idari tedbiri alacaktır. Kişisel verilerin yok edilmesi için, verilerin
bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin
türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçı kullanılarak tek
tek yok edilmesi gereklidir:
- Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi,
yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi
işlemidir.
- Kağıt İmha Makinesi İle Yok Etme
- De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz
kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir
biçimde bozulması yöntemidir.
- Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya
üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak
eski verinin kurtarılmasının önüne geçilmesi işlemidir.
8.3. Kişisel
Verileri Anonim Hale Getirilmesi
Kişisel
verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. MOBİLYAH
kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir
veya birkaçını kullanabilir:
- Maskeleme (Masking): Veri maskeleme
ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden
çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
Örnek:
Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No
vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının
imkânsız hale geldiği bir veri setine dönüştürülmesi.
- Kayıtları Çıkartma: Kayıttan çıkarma
yönteminde veriler arasında tekillik ihtiva eden veri satırı
kayıtlarıarasından çıkarılarak saklanan veriler anonim hale
getirilmektedir.
- Bölgesel Gizleme: Bölgesel gizleme
yönteminde ise tek bir verinin çok az görülebilir bir kombinasyonyaratması
sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi
anonimleştirmeyi sağlamaktadır.
Örneğin,
şirketin futbol takımının yedek listesinde olan ilgili veri sorumluları
arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu
yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir
veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş
bırakılması anonimleştirmeyi sağlayacaktır.
- Global Kodlama: Veri türetme
yöntemi ile kişisel verinin içeriğinden daha genel bir içerik
oluşturulmakta vekişisel verinin herhangi bir kişiyle
ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
Örneğin;
doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen
bölgenin belirtilmesi.
- Gürültü Ekleme: Verilere gürültü
ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri
setindemevcut verilere belirlenen oranda artı veya eksi yönde birtakım
sapmalar eklenerek veriler anonim hale getirilmektedir.
Örneğin,
kilo değerlerinin olduğu bir veri grubunda (+/−) 3 kg sapması kullanılarak
gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur.
Sapma her değere eşit ölçüde uygulanır.
KVK
Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel
veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür
işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası
aranmayacaktır.
- KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
MOBİLYAH,
kişisel verileri işlendikleri amaç için gerekli olan süre boyunca saklar.
Kişisel verilerin esas toplanma amacının veya varsa bu Politikada belirtilen
ikincil işleme dayanağının ortadan kalkması halinde kişisel veriler belirtilen
süreler boyunca saklanmaya devam edillebilir.
Mevzuatta
söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise
bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel
veriler sözleşmedeki tabloda yer alan kişisel verilerin tutulması için azami
süre boyunca saklanacaktır. Bu süreler; MOBİLYAH'in veri kategorileri ve veri
sahibi kişi grupları değerlendirilerek; bu değerlendirme sonucu elde edilen
verilerin kanunlarda yer alan yükümlülüklerin yerine getirilmesini sağlayacak
ve azami Türk Borçlar Kanunu’nda yer alan zamanaşımı süresi (10 yıl)
gözetilerek belirlenmiştir.
Bu
sürelerin sona ermesi dolayısıyla silme, yok etme veya anonim hale getirme
yükümlülüğünün ortaya çıktığı durumda MOBİLYAH bu tarihi takip eden ilk
periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale
getirir.
- PERİYODİK İMHA SÜRELERİ
MOBİLYAH'in
periyodik imha süresi 6 aydır. Saklama süresi dolan kişisel veriler, işbu
Politika’da yer alan imha süreleri çerçevesinde, 6 aylık periyodlarla işbu
Politika’da yer verilen usullere uygun olarak imha edilir. Söz konusu
sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin
kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri
dönüştürülmeyecek şekilde silinecektir.
Kişisel
verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan
bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki
yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Periyodik
imha sürecinin takibi konusunda MOBİLYAH verileri işlemeye başlamadan önce Veri
Sorumluları Siciline kaydolmak, süreç boyunca tüm idari ve teknik önlemleri
almakla yükümlüdür.
- SAKLAMA VE İMHA SÜRECİ İLE GÖREVLİ VERİ SORUMLUSU TEMSİLCİSİ’NİN
GÖREVLERİ VE OLUŞUMU
MOBİLYAH,
kendi bünyesinde, işbu Politika ve bu Politika ile ilişkili diğer politikaları
yönetmek üzere MOBİLYAH Yönetim Kurulu kararı gereğince çalışanlarından konu
ile ilgili olarak yeterli donanıma sahip olan bir kişiyi veri sorumlusu
temsilcisi tayin etmiştir. Veri sorumlusu temsilcisi’nin görevleri aşağıda
belirtilmektedir.
- Kişisel Verilerin korunması ve İşlenmesi ile ilgili temel politikaları
hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak.
- Kişisel Verilerin korunması ve İşlenmesine ilişkin politikaların
uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek
ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu
sağlamak hususlarını Yönetim Kurulu’nun onayına sunmak.
- Kanun ve KVK Düzenlemelerine uyumun sağlanması için yapılması gereken
hususları tespit etmek ve yapılması gerekenleri Yönetim Kurulu’nun onayına
sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
- Kişisel Verilerin korunması ve İşlenmesi konusunda MOBİLYAH içerisinde
ve MOBİLYAH'in iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı
arttırmak.
- Şirketin Kişisel Veri işleme faaliyetlerinde oluşabilecek riskleri
tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme
önerilerini Yönetim Kurulu’nun onayını sunmak.
- Kişisel Verilerin korunması ve politikaların uygulanması konusunda
eğitimler tasarlamak ve icra edilmesini sağlamak.
- Kişisel Veri sahiplerinin başvurularını en üst düzeyde karara
bağlamak.
- Kişisel Veri sahiplerinin; Kişisel Veri işleme faaliyetleri ve kanuni
hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve
eğitim faaliyetlerinin icrasını koordine etmek.
- VERİ SAHİPLERİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRECİ
Veri
sahiplerinin MOBİLYAH'e başvurarak kendisine ait kişisel verilerin silinmesini
veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının
mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır.
Kişisel
verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel
verileri siler, yok eder veya anonim hale getirir. MOBİLYAH, ilgili kişinin
talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel
verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel
veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye
bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin
yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan
kalkmamışsa, MOBİLYAH ilgili veri sahibine gerekçesini açıklayarak talebi
reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak
ya da elektronik ortamda bildirir.
- KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI
Veri
sahipleri işbu Politika’nın 12 numaralı başlığında yer alan haklarına ilişkin
taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda
belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği
diğer yöntemlerle MOBİLYAH'e ücretsiz olarak iletebileceklerdir:
- a) bilgi@mobilyah.com e-posta adresine gönderecekleri bir e-posta ile
- b) mobilyah.com’da yer alan başvuru formu ile (Başvuru Formuna ulaşmak
için linke tıklayabilirsiniz)
Kişisel
veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri
sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla
düzenlenmiş özel vekâletname bulunmalıdır.
- KİŞİSEL VERİ SAHİBİNİN KVK KURULU’NA ŞİKÂYETTE BULUNMA HAKKI
Kişisel
veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi,
verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hâllerinde; MOBİLYAH'in cevabını öğrendiği tarihten itibaren otuz ve herhâlde
başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette
bulunabilir.
- MOBİLYAH'İN BAŞVURUDA BULUNAN KİŞİSEL VERİ SAHİBİNDEN TALEP
EDEBİLECEĞİ BİLGİLER
MOBİLYAH,
başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek
adına ilgili kişiden bilgi talep edebilir. MOBİLYAH, kişisel veri sahibinin
başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine
başvurusu ile ilgili soru yöneltebilir.
- POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
İlgili
mevzuatta yapılacak her türlü resmi değişikliğin ardından bu değişiklerle
uyumlu olacak şekilde MOBİLYAH tarafından İşbu Politika’da değişiklik
yapılabilir.
MOBİLYAH,
Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde
güncellenen Politika’yı eposta yolu ile çalışanlarıyla paylaşacak ve kurumsal
internet üzerinden çalışanlarının erişimine sunacaktır.
- POLİTİKA’NIN YÜRÜRLÜK TARİHİ
Kişisel
Veri Saklama, İmha ve Anonimleştirme Politikası’nın işbu versiyonu 01.10.2020
tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.