A. KAPSAM

  1. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”); Dewlemend İnşaat A.Ş.’nin (“Dewlemend”) kişisel verileri işlediği herhangi bir sürece dâhil olan tüm departmanlarını, çalışanlarını ve 3. Kişileri kapsamaktadır.
  2. İşbu Politika; Dewlemend’in kişisel veriler üzerinde uygulayacağı tüm imha faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda uygulanacaktır.
  3. İşbu Politika “kişisel veri” niteliğinde olmayan veriler hakkında uygulanmayacaktır.
  4. İşbu Politika’nın Dewlemend tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Dewlemend uygulayacağı adımları, gerek görülmesi durumunda Hukuk Birimi’ne ve Üst Yönetime danışarak, yeniden

B.  TANIMLAR

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.

Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.

Kurul: Kişisel Verileri Koruma Kurulu’dur.

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcılar ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanterdir.

İmha: Kişisel   verilerin   silinmesi,   yok   edilmesi   veya   anonim   hale getirilmesidir.

Periyodik imha: Kanunda   yer   alan  kişisel   verilerin  işlenme   şartlarının  tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme  işlemidir.

Veri kayıt Sistemi: Kişisel  verilerin  belirli kriterlere göre yapılandırılarak  işlendiği kayıt sistemidir.

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt

sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

C.  AMAÇ

İşbu Politika, Kanunun 7.maddesi1 ve Yönetmelik hükümleri uyarınca Dewlemend ile Dewlemend’in sözleşmeyle sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirlemektedir. Bu kapsamda kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

  1. Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
  2. Dewlemend kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, Kanunun Maddesinde2 yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kişisel Verileri Koruma Kurulu’nun alacağı kararlara ve Politikaya uygun hareket edecektir.

D. KAYIT ORTAMLARI

Kişisel veri içeren Dewlemend adına kullanılan bilgisayarlar/sunucular, ağ cihazları, ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri, bulut sistemleri, mobil telefonlar ve içerisindeki tüm saklama alanları, kâğıt, mikrofiş, yazıcı, parmak izi okuyucu gibi çevre birimler,

manyetik bantlar, optik diskler, flash hafızalar gibi kayıt ortamları ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel veriler işbu Politikanın kapsamına dâhildir.

E. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN HALLER

  1. İşlemeye esas mevzuatın değişmesi veya ilgası,
  2. İşlemeye esas sözleşmenin sona ermesi veya hükümsüzlüğü,
  3. İşlenme amaç ve şartlarının ortadan kalkması,
  4. İşleme faaliyetinin dürüstlük kuralına veya hukuka aykırı olması,
  5. Açık rızaya bağlı işleme faaliyetlerinde rızanın geri alınması,
  6. Veri sorumlusunun başvuruda bulunması ve bu başvurunun kabulü,
  7. Veri sorumlusunun başvuruda bulunması ve bu başvurunun reddi neticesinde Kişisel Verileri Koruma Kurulu’nun talebin karşılanması gerektiğine ilişkin kararı,
  8. Saklama süresinin sona

F. KİŞİSEL VERİLERİN İMHASI

İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Kişisel verilerin imhası, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi aşağıdaki yöntemlerle uygulanabilir. Bu işlemler, ilgili bilgi varlığı sahibinin onayı ile gerek duyulduğunda  Bilgi Teknolojileri Bölümünden destek alınarak gerçekleştirilmelidir. Yapılacak tüm çalışmalarda  Veri  İmha Formu doldurulup imzalanarak işleme alınmalıdır.

Yukarıda belirtilen ortamlardaki veri ve yazılımların uygun olarak silinmesinden, imhasından ve varlık envanterinin güncellenmesini talep etmekten, ortamın sahibi sorumludur.

1. Silme

Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemleri aşağıdaki gibidir.

  • Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak
  • Merkezi sunucuda yer alan ofis dosyaları İşletim sistemindeki silme komutu ile
  • Taşınabilir medyada bulunan kişisel veriler uygun yazılımlarla
  • Veri tabanları kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinir.

2. Yok Etme
Kişisel verilerin yok edilmesi, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir.

2.a. Yerel Sistemler

2.a.1. De-Manyetize Etme

Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

2.a.2. Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

2.a.3. Fiziksel Yok Etme

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri  işlemlerle fiziksel olarak yok edilmesi işlemidir. Üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

2.b. Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası

Yazıcı, parmak izi ünitesi kapı giriş turnikesi gibi sistemler içerisinde gizli bilgiler mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma ve fiziksel yok etme uygulanarak  yapılması  gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

  • Ağ cihazları (switch, router vb.): 2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
  • Flash tabanlı ortamlar: Üreticinin önerdiği yok etme yöntemini kullanmak ya da F.2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi
  • Manyetik disk gibi üniteler: De-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi
  • Mobil telefonlar (Sim kart ve sabit hafıza alanları): F.2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi
  • Optik diskler: Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi
  • Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre F.2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi
  • Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: 2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

2.3. Kâğıt Ortamlar

Kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölerek imha edilmesi gerekmektedir.

3. Anonimleştirme

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonimleştirilmesi Dewlemend içerisinde veri sahibi iş biriminin görevidir. Veri sahibi iş birimi, verilerin yok edilmesi için denetimi kendisi tarafından  yapılmak  kaydıyla  Dewlemend’in farklı birimlerinden destek alabilir. Verilerin anonimleştirilmesi sırasında Dewlemend aşağıdaki gibi yöntemler kullanmaktadır.

  • Maskeleme : Veri maskeleme ile kişisel verinin temel belirleyici bilgisinin veri seti içerisindeki çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
  • Toplulaştırma : Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale
  • Veri Türetme : Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
  • Veri Karma : Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

G. SAKLAMA VE  İMHA SÜRELERİ

  1. Periyodik İmha ve Yasal Saklama Süreleri

Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Dewlemend kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemler diğer hukuki yükümlülükler dışında en az 3 yıl süre  ile saklanır.

  1. Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci

Veri sahiplerinin Dewlemend’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Dewlemend, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Dewlemend ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

Kişisel Veri Sahipleri Kanunu’nun 28. maddesi3 dâhilindeki hallerde haklarını ileri süremezler.

H. YÜRÜRLÜK VE YÜRÜTME

Bu Prosedür Genel Müdürlük makamının onay tarihi itibariyle yürürlüğe girer. Prosedür hükümleri Bilgi Teknolojileri Grup Müdürlüğü ile Satın Alma ve İdari İşler Grup Müdürlüğü  tarafından  yürütülür.