Alışveriş Sepeti

Sepette ürün yok.

Veri Saklama, Anonimleştirme ve İmha Politikası

Veri Saklama, Anonimleştirme ve İmha Politikası

1. Amaç
Bu prosedürün amacı, bilginin elde edilmesi, işlenmesi ve saklanmasında kullanılan tüm basılı ve yazılı içerik, bilgi teknolojileri varlıkları ve çevre birimlerinin gerekli durumlarda güvenli ve 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a uygun bir şekilde imha edilmesini sağlamaktır.

2. Kapsam
Prosedür; tüm kişisel ve ticari veri kayıtlarını ve iş süreçlerini kapsar.

3. Tanımlar

  • Kanun: 6698 sayılı “Kişisel Verilerin Korunması Kanunu”nu ifade eder.

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle o kişinin tanımlanabilir hale getirilmesini ifade eder.

  • Karartma: Kişisel verilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması veya buzlanması gibi işlemleridir.

  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

  • Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularının kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikadır.

  • Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleridir.

  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.

  • Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

4. Referanslar

  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu

  • 30224 Sayılı, 28.10.2018 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

5. Uygulama
5.1. Varlıkların İmhası
Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan işlenme şartlarının tamamının ortadan kalkması ya da bu maddelerdeki istisnaların uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler ilgili iş birimi tarafından iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri kapsamında uygulanacak yöntem ve gerekçesi açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.

Bilgi kayıt özelliğine sahip her türlü cihazın üzerindeki bilgiler yetkisiz erişime karşı silinir ve cihaz üzerindeki disk ve kayıt mekanizması fiziksel olarak tahrip edilir. Ortam/Cihaz İmha Tutanağı bilgi sistemleri operatörü tarafından doldurulur ve imzalanır. Tarih, cihaz bilgisi, imha sebebi vb. bilgiler girilerek imha işlemi kayıt altına alınır.

Verilerin Silinmesi Yöntemleri:

  • a. Kâğıt Ortamında Bulunan Kişisel Veriler: Kağıt öğütücü ile imha edilir veya gerekli durumlarda karartma yöntemi kullanılır.

  • b. Merkezi Sunucuda Yer Alan Ofis Dosyaları: İşletim sistemindeki silme komutu ile silinir.

  • c. Taşınabilir Medyada Bulunan Veriler: İşletim sistemindeki silme komutu ile silinir.

  • d. Veri Tabanları: Verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinir.

Varlıkların ve Verinin Yok Edilmesi Yöntemleri:

  • a. Yerel Sistemlerde: De-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılır.

  • b. Çevresel Sistemler:

    • Ağ cihazları (switch, router vb.): a maddesinde belirtilen yöntemlerle yok edilir.

    • Flash tabanlı ortamlar: Üretici önerileri veya a maddesindeki yöntemler uygulanır.

    • Manyetik bant: De-manyetize edilerek veya yakma, eritme gibi yöntemlerle imha edilir.

    • SIM kart ve sabit hafıza kartları: Uygun fiziksel yöntemlerle imha edilir.

    • Optik diskler: Yakma, parçalama veya eritme gibi yöntemlerle yok edilir.

    • Veri kayıt ortamı sabit olan çevre birimleri: Uygun fiziksel imha yöntemleriyle yok edilir.

  • c. Basılı Ortamlar: Kağıt imha makineleriyle yok edilir. Elektronik ortama aktarılan veriler ise bulunduğu ortama göre uygun yöntemle yok edilir.

Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri:
Kişisel Verileri Koruma Kurumu’nun rehberinde yer alan anonimleştirme yöntemlerinden uygun olanı kullanılır.

Periyodik gözden geçirme neticesinde veya herhangi bir zamanda veri işleme şartlarının ortadan kalktığı tespit edilirse, ilgili kullanıcı veya veri sahibi, verilerin bu politika doğrultusunda silinmesine, yok edilmesine veya anonim hale getirilmesine karar verir. Tereddüt durumunda veri sahibi iş birimiyle görüşülerek işlem yapılır.

Devlet Arşivleri Genel Müdürlüğü tarafından belirlenen saklama süreleri dikkate alınarak imha işlemleri gerçekleştirilir.

5.1.1. Çok Paydaşlı Verilerin İmhası
Merkezi bilgi sistemlerinde yer alan çok paydaşlı verilerin imhası konusunda, Veri Sorumlusu Temsilcisi görüşü alınarak işbu politikaya uygun şekilde işlem yapılır.

5.1.2. Veri Sahibi Talebi Üzerine Kişisel Verilerin İmhası
Veri sahibi, Kanunun 13. maddesine istinaden “Kişisel Veri Sahibi Başvuru Formu” ile kuruma başvurarak kişisel verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesini talep edebilir. Bu talep, başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılır.

Talebin geçerli sayılabilmesi için başvurucunun kimliğinin tespit edilmiş olması gereklidir. Talep değerlendirilip sonuç, başvuru formunda belirtilen yöntemle kişisel veri sahibine iletilir.

Eğer verilerin silinmesi veya yok edilmesi yasal nedenlerle mümkün değilse, gerekçe ile birlikte veri sahibine bilgi verilir. Veriler üçüncü kişilere aktarılmışsa, bu kişilere de gerekli bilgilendirme yapılır.

5.2. Kişisel Verilerin Periyodik Gözden Geçirilmesi
Kişisel verileri işleyen veya saklayan tüm kullanıcılar ve ilgili birimler, işleme şartlarının geçerliliğini en geç altı ayda bir gözden geçirir. Mahkeme bildirimi veya başvuru olması durumunda bu kontrol periyoda bağlı kalmaksızın derhal yapılır.
İmha işlemleri kayıt altına alınır ve söz konusu kayıtlar en az üç yıl süreyle saklanır.

İmha işlemlerinde Kanunun 4. ve 12. maddelerindeki yükümlülüklere ve teknik/idari tedbirlere uyulur.

5.3. Kişisel Verilerin Saklanması
Kişisel verilerin işlenme süreleri “Kişisel Veri İşleme Envanteri”nde tanımlanmıştır.
Periyodik veya talebe dayalı imha işlemlerinde bu süreler dikkate alınır. Saklama ve imha süreleri yasal zorunluluklar dışında, veri sahibinin talebiyle değişkenlik gösterebilir.

Kâğıt ortamındaki belgeler ve taşınabilir medya araçları kullanılmadıkları zamanlarda kilit altında tutulur, sadece yetkili kişiler erişebilir, alan kamera ile izlenir.
Dijital veriler, üniversitenin sistem odasında güvenlik önlemleri alınarak saklanır.
Detaylı idari ve teknik tedbirler, “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda açıklanmıştır.

6. Kontrol
Bu doküman ihtiyaç hâlinde revize edilir ve yılda en az bir kez periyodik olarak kontrol edilir.