İmha Politikası

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI (İMHA ŞARTLARI)

BAKIRSÜLFAT tarafından, KVKK’nın 7.maddesi ve Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri gereğince işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel veriler re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin imhası; verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir.

 

  1. Kişisel Verilerin İmhası

Kişisel verilerin imhası; verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir.  Veri sorumlusu tarafından mevzuata uygun olarak seçeneklerin değerlendirilmesi sonucunda kişisel verinin hangi yöntem kullanılarak imha edileceği belirlenir. Bu yöntemlerle ilgili ayrıntılı açıklama aşağıda bilginize sunulmuştur.

  • Kişisel Verilerin Silinmesi

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi sürecinde, yasal saklama süreleri göz önünde bulundurularak silme işlemine konu olacak kişisel veriler belirlenir.

BAKIRSÜLFAT, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. BAKIRSÜLFAT, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder. Bu garanti, BAKIRSÜLFAT’in sorumluluğu altındadır.

  • Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Yok etme işlemi, BAKIRSÜLFAT’in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve BAKIRSÜLFAT bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.

Kâğıt ve mikrofiş ortamları için bu işlem gerçekleştirilirken ortamı kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilecektir.

Bu işlemler sırasında BAKIRSÜLFAT çalışanları ve ilgili departmanlar yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise BAKIRSÜLFAT gerekli her türlü teknik ve idari tedbiri alacaktır.

  • Kişisel Verilerin Anonimleştirilmesi

Anonim hale getirme işlemi, BAKIRSÜLFAT‘in kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

BAKIRSÜLFAT, ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesini engelleyerek bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar.

Verilerin anonimleştirilmesi sırasında BAKIRSÜLFAT tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanabilir.

  1. Kişisel Verilerin İmha Yöntemleri ve Süreci

BAKIRSÜLFAT işbu Politikadaki kişisel verilerin silinmesi ve yok edilmesine yönelik tüm yöntemleri tanımlar ve bu yöntemlerin yürütmekten sorumludur.

  • Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 7 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

  • Manyetize Etme

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.

  • Fiziksel Yok Etme

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

  • Bulut İmhası

Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.

  • Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası

Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

  • Maskeleme (Masking)

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

  • Toplulaştırma (Aggregation)

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

Örnek: Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

  • Veri Türetme (Data Derivation)

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

  • Veri Karma (Data Shuffling, Permutation)

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

3.     Saklama ve İmha süreleri

Veri saklama süreleri için, veri sahibi ve sorumlusunun kişisel veri işleme envanterini referans olarak alması gerekir. Gerekli silme prosedürlerini planlamak için hazırlanan saklama programı, kişisel verilerin yaşam döngüsünü yönetmek için kullanılır.

 

Yasal saklanma ve imha süresinin sona ermesinin ardından fiziksel ve elektronik veriler periyodik olarak imha edilmelidir. BAKIRSÜLFAT, son kullanma tarihinden sonra ilk periyodik imha operasyonundaki imha edilmesi gereken kişisel verileri tespit ederek imha eder.

Tüm kişisel veriler için periyodik kontrol süreçleri ve gerekli imha işlemleri 6 ayda bir yapılır. Tahrip edilmiş kişisel veriler ile ilgili tüm işlemlerin 3 yıl süreyle denetim kaydı tutulur ve saklanır.

 

 

 

 

  1. Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci

Veri sahipleri BAKIRSÜLFAT’in kendi kişisel verilerini silme veya imha etmesini istediğinde, BAKIRSÜLFAT kişisel veri işleme koşullarının mevcut durumunu kontrol eder ve buna göre harekete geçer.Tüm kişisel veri işleme koşulları tükendiyse, talebe konu olan kişisel veriler silinecek, imha edilecek veya anonim hale getirilecektir. BAKIRSÜLFAT, ilgili kişinin talebini, Kanun’un 13/2 maddesine göre otuz gün içinde sonlandırır ve ilgili kişiyi bilgilendirir. 5.     İmha Standartları

Veri sorumlusu mevzuat çerçevesinde belirlenen şartlara uygun olarak kişisel veri saklama ve imha süreçlerini belirler. Saklama ve imha standartlarının güncel olmasını sağlar.