Gizlilik

1. GİRİŞ

Bu politikanın amacı; TSKB Sürdürülebilirlik Danışmanlığı A.Ş. (“Şirket”) kişisel verilerin korunması ve işlenmesine ilişkin prensiplerin belirlenmesidir.

2. KAPSAM

Bu politikanın kapsamı; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin Şirketimize sunulan ya da Şirketimiz tarafından elde edilen, özel nitelikli kişisel veriler de dahil olmak üzere, her türlü bilginin (“kişisel veri”) işlenmesi ve korunması sürecidir.

3. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN UYGULAMALAR VE ALINAN TEDBİRLER

Bu kapsamda Şirketimiz, kişisel verilerin hukuka uygun olarak işlenmesini ve korunmasını sağlamak için, çalışanına konuya ilişkin eğitimler verdiği gibi, teknolojik imkânlar doğrultusunda teknik ve idari tedbirleri alır. Kişisel verileri işlenenler mevzuatın öngördüğü şekilde bilgilendirilir. Elde edilen kişisel verilerin gizli tutulmasına azami özen gösterilmektedir ve Şirketimiz ile kişisel verilerini elektronik ortamda ya da sözlü/yazılı olarak paylaşanların kişisel verileri ancak ilgili kişinin rızası ya da mevzuatın izin verdiği durumlarda üçüncü kişiler ile paylaşılır. Kişisel verileri işlenenlerin Şirketimize yönelttiği taleplerin etkin bir şekilde sonuca ulaştırılması içinse gerekli mekanizmalar kurulur. Kişisel veri olarak çeşitli kanallardan Şirketimize gelen yazılı, basılı ya da elektronik ortamdaki kişisel verilerin tespiti ve uygun kontrollerin tesis edilmesi, bu verilerin saklanmasına ilişkin gereken güvenli ortamların hazırlanması ve en önemlisi de bu verilere erişimin kısıtlı sayıda ve yetkili kişiler tarafından gerçekleştirilmesi için gerekli gayret gösterilir.

4. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN TEMEL İLKELER

Kişisel Verilerin işlenmesinde gözetilen temel ilkeler aşağıdaki şekildedir:

  • a) Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak işlenir.
  • b) Kişisel verilerin doğru olarak işlenmesine özen gösterilir ve gerektiğinde verilerde güncelleme yapılır.
  • c) Kişisel verilerin hangi amaçlar için işleneceği belirli ve açıktır ve söz konusu amaçlar meşrudur. Kişisel verilerin hangi amaçlar için işlenebileceği konusunda ilgili kişi bilgilendirilir.
  • ç) Kişisel veriler hangi amaç için işleniyorsa bu amaçla bağlantılı, sınırlı ve ölçülüdür.
  • d) Kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Bu kapsamda, ilgili mevzuatta öngörülmesi durumunda kişisel veriler bu süre boyunca saklanır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, ilgili veri yürütülen faaliyet ile bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca saklanması gerektiren süre kadar saklanır ve daha sonra niteliğine göre silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin işlenmesi konusunda aşağıdaki hallerde ilgili kişinin açık rızası olmaksızın kişisel veriler işlenebilir:

  • a) Kanunlarda açıkça öngörülmesi.
  • b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirketimiz kişisel verileri yukarıda belirtilen temel prensipler gözetilerek, Şirketimizin ilgili kişilerle iletişime geçebilmesi, mevzuat kapsamında öngörülen hizmetlerin sunulabilmesi, Şirketimizin taraf olduğu sözleşmelerin akdedilebilmesi ve gereğinin yerine getirilmesi, Şirketin ürün ve hizmetlerinin sunabilmesi ve bunlara ilişkin bilgilendirmelerin yapılabilmesi, şikayet ve sorunların çözülmesi, hizmet aldığımız, işbirliği ya da anlaşma yaptığımız kişi ve kurumlara Şirketimizin hizmet ve projeleriyle ilgili referans verilebilmesi, Şirketimizin yükümlülüklerini yerine getirebilmesi için gerekli görülen veri tabanının oluşturulması, işlem sahibinin bilgilerini tespit için kimlik, adres ve diğer gerekli bilgilerin elde edilmesi, öngörülen işlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi, Şirket içi iletişimin usulüne uygun olarak sağlanması, ilgili mevzuatta yer alan düzenlemelere uyum sağlanması, SPK, BDDK, TCMB ve diğer resmi kurumlar tarafından öngörülen bilgi saklama, raporlama, bilgilendirme ve diğer yükümlülüklerine uyulması, basılı veya görsel haberlerde veya bültenler kanalı ile kamuoyunun bilgilendirilmesi amacı ile, anılan hukuki sebeplere dayanılarak veri sorumlusu sıfatı ile Şirketimiz tarafından işlenmektedir.

6. KİŞİSEL VERİLERİN PAYLAŞILABİLECEĞİ KİŞİ VE KURUMLAR

Kişisel Veriler Şirketimizin ilgili çalışanlarına, ilgili mevzuat hükümlerinin izin verdiği ve/veya zorunlu kıldığı kişi veya kuruluşlara, mahkemeler, icra daireleri ve diğer resmi kurum ve kuruluşlara, faaliyetlerimizi yürütmek üzere hizmet aldığımız, işbirliği ya da anlaşma yaptığımız kişi ve kurumlara yukarıda belirtilen amaçlarla aktarılabilir.

7. KİŞİSEL VERİLERİ İŞLENEN KİŞİLERİN HAKLARI

Kişisel verileri Şirketimiz tarafından işlenenler Şirketimize başvurarak, kişisel verilerinin; a) işlenip işlenmediğini öğrenme, b) işlenmişse bilgi talep etme, c) işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, ç) yurt içinde / yurt dışında aktarıldığı üçüncü kişileri bilme, d) eksik / yanlış işlenmişse düzeltilmesini isteme, e) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme, f) aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme, g) münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhlerine bir sonucun ortaya çıkmasına itiraz etme, ğ) kanuna aykırı olarak işlenmesi sebebiyle zarara uğramaları hâlinde zararın giderilmesini talep etme hakkına sahiptir.

Söz konusu hususlarda Şirketimizin mevzuattan doğan hakları saklıdır. Makul olmayacak düzeyde yinelenen, orantısız düzeyde teknik çaba gerektiren, başkalarının gizliliğini tehlikeye atan istekler haricinde, söz konusu hakların etkin bir şekilde sağlanabilmesi için azami gayret gösterilir.

Veri sahibi başvuru formuna ulaşmak için tıklayınız.

1. AMAÇ VE KAPSAM

Kişisel Veri Saklama İmha Politikası’nın amacı; TSKB Sürdürülebilirlik Danışmanlığı A.Ş.’de (“Şirket”) işlenen kişisel verilerin, işlendikleri amaç için gerekli olan azami süreler ile silinme, yok edilme ya da anonim hale getirilme süreçlerinin belirlenmesi ve bu süreçlerde görev alacak kişilerin rol ve sorumluluklarının tanımlanmasıdır.

Bu Politika’nın kapsamını; kişisel verilerin azami saklama süreleri ile kişisel verilerin hukuka uygun olarak saklanması ve imha edilmesi için alınmış teknik ve idari tedbirler, Şirket bünyesinde ilgili süreçlerin yürütülmesinde görev alanlar ile aşağıda sıralanan kayıt ortamları oluşturmaktadır;

  • Elektronik Kayıt Ortamları: LogoSRV3, Microsoft onedrive gibi Şirket tarafından kullanılan her türlü sunucu
  • Fiziki Kayıt Ortamları: Arşiv, Dolaplar gibi kişisel verilerin fiziki olarak saklandığı ortamlar

2. TANIMLAR

Şirket: TSKB Sürdürülebilirlik Danışmanlığı A.Ş.’yi

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Veri Sorumlusu: TSKB Sürdürülebilirlik Danışmanlığı A.Ş.’yi

Veri Sahibi: Kişisel Verilerin işlendiği ve Şirket sistemlerinin veri tabanı ve uygulama seviyelerindeki verilerden sorumlu olan, ilgili verilere erişimi kısıtlayarak yetkisiz erişimi engellemekle yükümlü olan ve diğer çalışanların prosedürlere uyumuna yardımcı olan birimi,

Kurul: Kişisel Verileri Koruma Kurulu’nu,

Anonim Hale Getirme: Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

İmha: Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunduğu her türlü ortamı,

Kişisel Veri İşleme Envanteri: Kişisel Verileri işleme faaliyetlerinin; Kişisel Verilerin işlenme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve Kişisel Verilerin işlendikleri amaçlar için gerekli olan azami süreyi, aktarımı öngörülen Kişisel Verilerin ve veri güvenliğine ilişkin alınan tedbirlerin açıklanarak detaylandırıldığı envanteri,

Kişisel Veri Saklama ve İmha Politikası/Politika: Veri sorumlularının, Kişisel Verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları iş bu politikayı,

Periyodik İmha: Kanun’da yer alan Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Veri Kayıt Sistemi: Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Kişisel Verilerin Korunması ve İşlenmesi İlkeleri: Şirket tarafından hazırlanan ve Kişisel Verilerin korunması ve işlenmesine ilişkin genel esasları belirten ilkeleri,

Kişisel Veri Saklama ve İmha Prosedürü: Kişisel Veri Saklama ve İmha Politikası’nda belirtilen şekilde işlem kurallarını detaylı olarak düzenlemek amacı ile hazırlanan prosedürü,

İlgili Kullanıcı: Kişisel Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda Kişisel Verileri işleyen kişileri ifade eder.

3. SORUMLULUK

Şirket, aşağıdaki görev ve sorumlulukları yerine getirir:

  • Kişisel Verilerin saklama süresine uygunluğunu sağlamak,
  • Periyodik imha döneminde kişisel veri imha sürecinin yönetimini gerçekleştirmek,
  • Politika’yı asgari olarak yıllık bazda gözden geçirmek,
  • Politika’yı esas alarak işlem kurallarını detaylı düzenleyecek Kişisel Veri Saklama ve İmha Prosedürü ve gerekli gördüğü diğer prosedürleri düzenlemek ve yayımlamak,
  • Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak, uygun gördüğü kişileri yetkilendirmek ve Kanun’a uyum konusundaki eğitimleri organize etmek,
  • Kanunun 12. maddesi uyarınca alınan her türlü teknik ve idari tedbirlerin uygulanmasını takip etmek ve denetimini planlamak,
  • Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek, uygulanmasını gözetmek ve gerekli koordinasyonu sağlamak,
  • Kişisel Verileri işlenen gerçek kişiler tarafından yapılan başvuru ve taleplerle ilgili süreçlerin takibini yapmak ve Kanun ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,
  • Kurul ile olan ilişkileri yürütmek.

4. VERİLERİN SAKLANMASINA VE HUKUKA AYRIKI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİNE İLİŞKİN GÜVENLİK ESASLARI

Şirket tarafından Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında temin edilen veriler, Kişisel Veri İşleme Envanteri’nde listelenen ve Kanunda belirtilen kurallar çerçevesinde sınıflandırılır.

Bu çerçevede Politika’ya temel teşkil eden sınıflandırma metodolojisi olarak Kanunda yer alan Kişisel Veri tanımlamaları kullanılmıştır. Bu kapsamda,

  • Grup 1/Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veriyi,
  • Grup 2/Özel nitelikli kişisel veri: Kişilerin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep ve diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyelikleri, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik ve genetik verileri,
  • Grup 3/Diğer veri: Kişisel Veri tanımı kapsamına girmeyen verileri ifade etmektedir.

1. ve 2. Gruba ait olan verilerin güvenli bir şekilde saklanması ve hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için burada sayılanlarla sınırlı olmamak üzere teknolojik imkanlar çerçevesinde, Kişisel Verilere ilişkin erişim yetkisi sınırlaması, şifreleme/maskeleme yapılması, gizlilik ve bilgi güvenliği tedbirleri alınması, Kişisel Veri İşleme Envanteri hazırlanması, çalışanlara eğitim verilmesi, kurumsal politikaların ve prosedürlerin hazırlanması ve güncel tutulması gibi teknik ve idari tüm tedbirlerin alınması esastır.

5. VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER

Kişisel Veriler,

  • Şirketin ilgili kişilerle iletişime geçebilmesi,
  • İlgili mevzuat kapsamında öngörülen hizmetlerin sunulabilmesi,
  • Şirketimizin taraf olduğu sözleşmelerin akdedilebilmesi ve gereğinin yerine getirilmesi,
  • Şirketin ürün ve hizmetlerinin sunabilmesi, ürün ve hizmetlerle ilgili bilgi verilebilmesi veya şikayet yönetimi kapsamında çözümler sunabilmesi,
  • İşbirliği ya da anlaşma yaptığımız kişi ve kurumlara Şirketimizin hizmet ve projeleriyle ilgili referans verilebilmesi,
  • Şirketin yükümlülüklerini yerine getirebilmesi için gerekli görülen veri tabanının oluşturulması, işlem sahibinin bilgilerini tespit için kimlik, adres ve diğer gerekli bilgilerin elde edilmesi, öngörülen işlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi,
  • Şirket içi iletişimin usulüne uygun olarak sağlanması,
  • İlgili mevzuatta yer alan düzenlemelere uyum sağlanması,
  • SPK, BDDK, TCMB ve diğer resmi kurumlar tarafından öngörülen bilgi saklama, raporlama, bilgilendirme ve diğer yükümlülüklerine uyulması,
  • Basılı veya görsel haberlerde veya bültenler kanalı ile kamuoyunun bilgilendirilmesi amacı ile anılan hukuki sebeplere dayanılarak veri sorumlusu sıfatı ile Şirket tarafından işlenmektedir.

İşlenme amacının sona ermesi ya da ilgili mevzuat ve/veya Şirketin belirlediği saklama sürelerinin sonuna gelinmesi halinde ise Kişisel Veriler, işbu Politika’da belirtilen esaslar çerçevesinde imha edilir.

6. VERİLERİN İLGİLİ MEVZUAT KAPSAMINDAKİ SAKLAMA SÜRELERİ

Şirket bünyesinde saklanan tüm Kişisel Veriler için saklama süreleri belirlenir. Saklama süreleri belirlenirken öncelikle ilgili mevzuat, ilgili mevzuat ile öngörülen bir süre yoksa Kişisel Veri işleme amacı için gereken süre göz önünde bulundurulur. İlgili sürelere Kişisel Veri Envanteri’nde yer verilir.

Kişisel Veri İşleme Envanteri’nde bahsi geçen Kişisel Veriler, zamanaşımı süresini kesen ya da durduran herhangi bir hukuki durum olmadığı takdirde, aşağıdaki tabloda yer alan yasal düzenlemeler gereği saklanır ve saklama süresini takip eden ilk periyodik imha tarihinde imha edilir.

Sair İlgili Mevzuat Gereği İlgili mevzuatta öngörülen süre kadar
Genel dava zamanaşımı
süresini düzenleyen Borçlar
Kanunu’nun 146. maddesi
gereği
10 Yıl
İlgili kişisel verinin Türk Ceza Kanunu
veya sair ceza hükmü getiren
mevzuat kapsamında bir suça konu
olması veya bir suç ile ilişkili olması
durumunda Türk Ceza Kanunu’nun 66.
ve 68. maddeleri gereği
Dava zamanaşımı ve Ceza Zamanaşımı
müddetince

7. VERİLERİN İMHASINA İLİŞKİN GÜVENLİK ESASLARI

Şirket tarafından Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında temin edilen ve Kişisel Veri Envanteri’nde belirtildiği şekilde saklanan Kişisel Veriler, işlenme amacı sona ermiş ya da ilgili mevzuatta ve/veya Politika’da belirtilen saklama sürelerinin sonuna gelinmişse, Kişisel Verisi işlenen gerçek kişinin kendi talebi, Veri Sahibi Birimin talebi üzerine ya da re’sen, kayıt ortamlarına uygun şekilde; Kişisel Verinin niteliğine uygun olarak belirlenecek silme, yok etme ya da anonimleştirme süreçlerine tabi tutularak detayları Kişisel Veri Saklama ve İmha Prosedüründe gösterilen şekilde imha edilir.

Şirket tarafından kullanılan İmha yöntemleri aşağıdaki şekildedir.

7.1. VERİLERİN SİLİNMESİ

Kişisel Verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilme işlemidir.

7.2. VERİLERİN YOK EDİLMESİ

Kişisel Verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

7.3. VERİLERİN ANONİMLEŞTİRİLMESİ

Kişisel Verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Kişisel Verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Anonim hale getirilmiş Kişisel Verilerin çeşitli müdahalelerle tersine döndürülmesi ve anonim hale getirilmiş verinin yeniden kimliği tespit edici ve gerçek kişileri ayırt edici hale dönüşmesi riski olup olmadığı araştırılarak ona göre işlem tesis edilmesi esas alınır.

8. İMHA SÜRECİNİN İŞLETİLMESİ

Şirket bünyesinde saklanan Kişisel Veriler, saklama süreleri sona erdiğinde, verilerin gizliliğini korumak suretiyle İmha sürecine tabi tutulurlar.

  • 1. ve 2. Gruba ait verilerin, işlenmesini gerektiren sebepler ortadan kalktığında İmha sürecini işletmek Şirketin sorumluluğundadır. Bu veriler için belirlenecek İmha yöntemi Şirket tarafından belirlenir.
  • 1. ve 2. Gruba ait verilerin imha süreci Şirket tarafından başlatılır. Şirket, Veri Sahibine imha sürecini işletmesi konusunda bilgilendirme yapar.
  • Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler mümkün olduğu ölçüde iki imza yetkilisi tarafından imzalanan bir tutanakla kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreler dikkate alınır.

  • Veri Envanterinde belirtilen saklama süresi kapsamında yükümlülüğün ortaya çıktığı tarihi takip eden ilk Periyodik İmha işleminde Kişisel Veriler silinir, yok edilir veya anonim hale getirilir.
  • Periyodik İmha sürecinin zaman aralığı azami 6 (altı) aydır.

Şirket bünyesinde Kişisel Verisi bulunan kişiler, Şirket web sitesi üzerinde yayınlanan “Kişisel Veriler İletişim Formu” aracılığı ile söz konusu verilerin imha edilmesi için talepte bulunma hakkına sahiptir. Bu hakkın kullanılması durumunda:

  • Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu Kişisel Veriler silinir, yok edilir veya anonim hale getirilir. İlgili kişilerin silme veya yok etme talepleri Veri Sorumluları tarafından en geç otuz gün içerisinde sonuçlandırılır ve Kişisel Verilerinin silinmesini talep eden kişiye işlem hakkında yazılı veya elektronik ortam üzerinden bilgi verilir.
  • Kişisel Verilerin işleme şartlarının tamamı ortadan kalkmış ve silinmesi talep edilen veri daha önce üçüncü kişilere aktarılmış ise; silme işleminin üçüncü taraf nezdinde de ivedilikle ve maksimum otuz gün içerisinde yapılması için bilgilendirmeyi yapar ve gerekli işlemlerin yapıldığına ilişkin üçüncü kişilerden bilgilendirme talep eder.
  • Kişisel Verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

1. GİRİŞ

Bu politikanın amacı; TSKB Sürdürülebilirlik Danışmanlığı A.Ş.’de (“Şirket”) özel nitelikli kişisel verilerin korunması ve işlenmesine ilişkin prensiplerin belirlenmesidir.

2. KAPSAM

Bu politikanın kapsamı; Şirketimizce sunulan ya da Şirketimiz tarafından elde edilen, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin (“özel nitelikli kişisel veri”) işlenmesi ve korunması sürecidir.

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNE İLİŞKİN UYGULAMALAR VE ALINAN TEDBİRLER

I) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak:

  • a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konusunda düzenli olarak eğitimler verilir,
  • b) Gizlilik sözleşmeleri yapılır,
  • c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır,
  • d) Periyodik olarak yetki kontrolleri gerçekleştirilir,
  • e) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmalıdır, Veri sorumlusu tarafından kendine tahsis edilen veri envanteri iade alınır.

II) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,

  • a) Verilerin kriptografik yöntemler (Gizli Anahtarlı Kriptografi, Açık Anahtarlı Kriptografi, Sayısal İmza, Şifreleme Algoritmaları, SSL (Secure Socket Layer)) kullanılarak muhafaza edilir,
  • b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
  • c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,
  • d) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması / yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilir,
  • e) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/ yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilmeli,
  • f) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

III) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise,

  • a) Özel nitelikli kişisel verilerin bulunduğu ortam niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlarına karşı) alındığından emin olunur,
  • b) Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER

Özel nitelikli kişisel verilerin işlenmesinde gözetilen temel ilkeler aşağıdaki şekildedir:

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmadan işlenmemesi esas olup, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemler alınır.

5. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN TEMEL İLKELER

Özel nitelikli kişisel verilerin aktarılmasında gözetilen temel ilkeler aşağıdaki şekildedir:

  • a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,
  • b) Taşınabilir bellek, CD, DVD, gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulur,
  • c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir,
  • d) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” (Üzerinde çok gizli, gizli, özel ve hizmete özel ibaresi taşıyan evrak) formatında gönderilir.