ELEGANT TRADİNG E-TİCARET 

DANIŞMANLIK  LİMİTED ŞİRKETİ 

KİŞİSEL VERİ SAKLAMA VE İMHA 

POLİTİKASI

İşbu Kişisel Veri Saklama ve İmha Politikası (bundan böyle “Politika” olarak anılacaktır.) 7 Nisan 2016 tarihinde 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “KVKK” ve/veya “Kanun” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hükümleri karşısında ESTELİT SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ’nin (bundan böyle “ELEGANT” ve/veya “Şirket” olarak anılacaktır.) mevcut durumunu tespit ederek bu tespitler çerçevesinde hukuki ve idari tedbirler kapsamında yapılması gerekenleri (bundan böyle “Saklama ve İmha Süreçleri” olarak anılacaktır.) belirlemek amacıyla hazırlanmıştır. 

 

_________________________________________________________________________________________

BU POLİTİKA METNİNDE YER ALAN TÜM İÇERİKLERİN, BİREYSEL KULLANIM DIŞINDA KISMEN YA DA TAMAMEN KOPYALANMASI, ÇOĞALTILMASI, KULLANILMASI, YAYIMLANMASI VE DAĞITILMASI YASAKTIR. BU YASAĞA UYMAYANLAR HAKKINDA 5846 SAYILI FİKİR VE SANAT ESERLERİ KANUNU UYARINCA YASAL İŞLEM YAPILACAKTIR.

 


  • GİRİŞ

  • Amaç

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “KVKK” ve/veya “Kanun” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca, ELEGANT; tabi olduğu ilgili düzenlemeler, Kanun ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verilerin usulüne uygun saklanmasına ve gerektiği takdirde uygun yöntemler ile ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre sonunda imha edilmesine azami hassasiyet göstermektedir.

 

Nitekim bu hassasiyet doğrultusunda işbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”) hazırlanarak ELEGANT tarafından gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin süreç yönetimlerinin usul ile esasları belirlenmiştir. 

 

ELEGANT faaliyetleri sırasında elde edilen kişisel verilerin saklanması ve imhasına dair izlenen yöntemler hakkında aşağıda açıklamalar yer almakta olup kişisel verilerin saklanması ve imhasına ilişkin süreç baştan sona işbu Politika uyarıca yürütülmektedir.


  • Kapsam

ELEGANT tarafından işlenen otomatik veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin elektronik ve/veya basılı her türlü ortamda saklanmasına ve imhasına ilişkin olarak hazırlanan işbu Politika KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası düzenlemeler ve yol gösterici belgeler gözetilerek ele alınmış ve hazırlanmıştır. 

 

ELEGANT çalışanları, çalışan adayları, müşterileri, hizmet sağlayıcıları, tedarikçileri, iş ortakları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup ELEGANT tarafından sahip olunan ve/veya ELEGANT tarafından yönetilen tüm kişisel veri kayıt ortamları ile kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır. 


  • Kısaltmalar ve Tanımlar

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir. 

Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. 

Çalışan

ESTELİT SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ çalışanlarıdır.

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır. 

Elektronik Olmayan 

Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlardır. 

Hizmet Sağlayıcı

ELEGANT ile belirli bir sözleşme ilişkisi çerçevesinde bulunarak ELEGANT’a hizmet sağlayan gerçek veya tüzel kişiyi ifade eder. 

İlgili Kişi / Kişisel Veri Sahibi 

Kişisel verisi işlenen gerçek kişilerdir. Kişisel veri tanımından anlaşılabileceği üzere Kanun’un koruması ancak gerçek kişiye ilişkindir ve bu kişi “ilgili kişi” olarak tanımlanmaktadır. 

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. 

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu 

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam anlamına gelir.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır.

Kişisel Veri İşleme 

Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri işlemenin hukuki sebebini, veri kategorisini, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter anlamına gelir.

Kişisel Verilerin 

İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kurul

Kişisel Verileri Koruma Kurulu. 

Kurum

Kişisel Verileri Koruma Kurumu. 

Özel Nitelikli Kişisel 

Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Politika

Kişisel Verileri Saklama ve İmha Politikası 

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir. 

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir. 

Veri Sorumluları Sicil

Bilgi Sistemi / VERBİS

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini ifade eder.

Yönetmelik

28.10.2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir. 


  • SORUMLULUK ve GÖREV DAĞILIMLARI 

Tüm ELEGANT çalışanları ve çalışanların bağlı bulundukları departmanlar, kişisel verileri işleme faaliyetlerine ilişkin olarak işbu Politika kapsamında olup Politika doğrultusunda alınması öngörülen teknik, hukuki ve idari tedbirlerin gereği gibi uygulanması, veri koruma süreçlerine ilişkin eğitim ve farkındalık düzeylerinin arttırılması,  periyodik olarak veya rastgele şekilde denetlenmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve kişisel verilere hukuka aykırı erişilmesinin önlenmesinden ve kişisel verilerin hukuka uygun saklanmasının sağlanmasından sorumludur. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır. Bu kapsamda kişisel verilerin saklanması ve imha edilmesi süreçlerinde görev alanların unvanları, departmanları ve görev tanımları aşağıdaki gibidir: 

Unvan

Departman

Görev Tanımı


KVK KOMİTESİ YÖNETİCİSİ


KALİTE ve DENETİM MÜDÜRÜ

Politikanın yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi, idari tedbirlerin sağlanması ve uygulanmasından sorumludur.



KVK KOMİTESİ ÜYESİ


İNSAN KAYNAKLARI MÜDÜRÜ

Politikanın yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi, idari tedbirlerin sağlanması ve uygulanmasından sorumludur.



KVK KOMİTESİ ÜYESİ


BORDRO ve ÖZLÜK İşleri MÜDÜRÜ

Politikanın yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi, idari tedbirlerin sağlanması ve uygulanmasından sorumludur.



KVK KOMİTESİ TEKNİK DESTEK BİRİMİ



IT & BİLGİ TEKNOLOJİLERİ

Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin ve tedbirlerin sağlanmasından ve uygulanmasından sorumludur.


KVK KOMİTESİ İDARİ DESTEK BİRİMLERİ


TÜM DEPARTMAN YÖNETİCİLERİ

Çalışanların politikaya uygun hareket etmesinden, denetiminden ve genel koordinasyonundan sorumludur.


  • KAYIT ORTAMLARI

ELEGANT tabi olduğu ticari ve hukuki düzenlemeler ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verileri aşağıda listelenen elektronik ve/veya elektronik olmayan ortamlarda tutmaktadır: 

  • KİŞİSEL VERİLERİ SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR 

ELEGANT tarafından çalışanlarına, çalışan adaylarına, müşterilere, hizmet sağlayıcılara, tedarikçilerine, iş ortaklarına, ziyaretçilere ve diğer üçüncü kişilere ait kişisel veriler Kanun ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak saklanmakta ve imha edilmektedir. Saklama ve imha süreçlerinin tamamında ELEGANT tarafından tabi olunan hukuki düzenlemeler, ikincil mevzuat ve Kurum’un bağlayıcı görüş ve bildirimleri dikkate alınır. 

 

ELEGANT şirket politikası olarak işlediği dönem için en güncel kişisel verileri mümkün olan en kısa süre için saklamayı, saklanan veriler bakımından olabildiğince minimizasyonu amaçlamakta ise de veri sorumlusu olarak ELEGANT veri işleme amaçları ve hukuki sebepleri çerçevesinde yasal yükümlülüklerini de göz önünde bulundurarak işlemiş olduğu kişisel verileri belirli sürelerde saklar. Ancak kamu menfaati ve istatistiki amaçlar ile başkaca sebepler için yapılmış olan daha uzun süreli arşivleme çalışmaları söz konusu olduğunda bu sebepleri açıkça açıklamak suretiyle mümkün olan teknik ve idari her türlü yeterli ve gerekli uygun tedbiri alır. Bu durumda olay özelinde alınacak diğer tedbirlere ilişkin bilgilendirme bir protokol ile yapılacak olup ek düzenlemeler içeren bu protokol işbu politikanın ayrılmaz bir parçası olarak değerlendirilecektir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir: 


  • Saklamaya İlişkin Açıklamalar

Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işleme faaliyetinin işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.


  • Saklamayı Gerektiren Hukuki Sebepler

ELEGANT faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilmektedir ve bu kapsamda kişisel veriler aşağıdaki hukuki sebeplere dayalı olarak saklanmaktadır: 

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 6331 sayılı İşçi Sağlığı ve İş Güvenliği Kanunu,
  • 4857 sayılı İş Kanunu,
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 
  • Yukarıda sayılı yasal düzenlemeler uyarınca yürürlükte olan diğer ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere diğer mevzuat hükümlerinde açıkça öngörülmesi,
  • ELEGANT tarafından, taraf olduğu sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, 
  • ELEGANT için hukuki yükümlülüğünü yerine getirebilmesi bakımından zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması, 
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ELEGANT meşru menfaatleri için veri işlenmesinin zorunlu olması.


  • Saklamayı Gerektiren İşleme Amaçları

Yukarıda detayı açıklanan ELEGANT faaliyetleri çerçevesinde işlenen kişisel veriler aşağıda belirtilen amaçlarla sınırlı olarak işlenmektedir: 

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans Ve Muhasebe İşlerinin Yürütülmesi
  • Fiziksel Mekan Güvenliğinin Temini
  • Görevlendirme Süreçlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi Ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
  • Lojistik Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • Pazarlama Analiz Çalışmalarının Yürütülmesi
  • Performans Değerlendirme Süreçlerinin Yürütülmesi
  • Risk Yönetimi Süreçlerinin Yürütülmesi
  • Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Talep / Şikayetlerin Takibi
  • Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
  • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  • Olası hukuki uyuşmazlıklar için ispat yükümlülüğünü yerine getirme

Amaçları ile kişisel veriler işlenmekte ve işleme sırasında Kanun ile ikincil mevzuatı dikkate alınmaktadır.


  • İmhayı Gerektiren Sebepler

Kişisel veriler:

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 
  • İşlenen verinin güncelliğini kaybetmesi, doğruluğunu yitirmesi,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanun’un 11.maddesi gereği, ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun ELEGANT tarafından kabul edilmesi,
  • ELEGANT tarafından ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvurunun reddedilmesi, ilgili kişinin verilen cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, 

Durumlarında ELEGANT tarafından ilgili kişisel veriler ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.

 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, ELEGANT tarafından resen ve/veya ilgili kişinin ELEGANT bünyesine yaptığı başvuru üzerine aşağıda belirtilen tekniklerle imha edilir.


  • Kişisel Verilerin İmha Yöntemleri

  • Kişisel Verilerin Silinmesi

ELEGANT tarafından işlenen kişisel veriler aşağıda belirtilen şekilde silinmektedir:

Veri Kayıt Ortamı

Açıklama

  • Elektronik Kayıt Ortamları
 
  • Çevresel ve Yerel Sistemler
  • Elektronik Olmayan Kayıt Ortamları

Fiziksel ortamda tutulan ve saklama süresi sona eren kişisel veriler çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/ boyanarak/silinerek karartma işlemi de uygulanır.

Ayrıca şifreleme yöntemiyle veri imhası uygulanır.

***ELEGANT yukarıda belirtilen silme yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni silme yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği silme yöntemlerini kullanabilir.


  • Kişisel Verilerin Yok Edilmesi 

ELEGANT tarafından işlenen kişisel veriler aşağıda belirtilen şekilde yok edilmektedir:

Veri Kayıt Ortamı

Açıklama

  • Elektronik Kayıt Ortamları
  • Fiziksel Yok Etme Yöntemi

Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.


  • De – Manyetize Etme (Degauss)

Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz ve yeniden okunabilir hale gelmesi engellenecek biçimde bozulması sağlanır.


  • Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

  • Çevresel ve Yerel Sistemler
 
  • Elektronik Olmayan Kâğıt Ortamları

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde (sheddar) geri döndürülemeyecek şekilde yok edilir.

***ELEGANT yukarıda belirtilen imha yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni imha yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği imha yöntemlerini kullanabilir.


  • Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kâğıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

ELEGANT aşağıda belirtilen anonimleştirme yöntemlerinden bir ya da birkaçını kullanabilir ve bu anonimleştirme yöntemlerini kullanırken K – Anonimlik [UN2] (K – Anonymity), L – Çeşitlilik (L – Diversity) [UN3] ve T – Yakınlık [UN4] (T – Closeness) istatistik yöntemlerine başvurabilir:

 

Alt ve Üst Sınır Kodlama/ Global Kodlama

:

Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. 


Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir.


Aynı kategori içinde kalan değerler birleştirilir.

Bölgesel Gizleme

:

Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.

Değişkenleri Çıkarma

:

İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.

Genelleştirme 

:

Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.

Mikro Birleştirme

:

Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. 


Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. 


Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.

Veri Karma ve Bozma

:

Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.


  • SAKLAMA ve İMHA SÜRELERİ ve YÖNTEMİ

Kanun ve/veya ilgili mevzuat ile ikincil düzenlemelerinde daha uzun bir süre düzenlenmiş olması ya da Saklamayı Gerektiren Hukuki Sebepler uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri ve benzeri için daha uzun bir süre öngörülmüş olması hali saklı kalmak kaydıyla ELEGANT tarafından işlenen kişisel veriler bu politikanın ekinde yer alan Saklama ve İmha Tablosunda belirtilen yöntemlerle ve sürelerle saklanmakta ve saklama sürelerinin sonunda belirtilen yöntemlerle (Sayılan imha yöntemleri ile sınırlı kalmamak kaydıyla ELEGANT’ın  farklı imha yöntemleri kullanma hakkı saklıdır.) imha edilmektedir. (Bkz. EK- Saklama ve İmha Tablosu


  • PERİYODİK İMHA SÜRESİ 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında ELEGANT, Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Periyodik imha süreçleri her 6 (altı) ayda 1 (bir) tekrar eder.

 

İşleme amacı ortadan kalkmış veriler işbu Politika’da yer verilen usullere uygun olarak imha edilir. Söz konusu sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülmeyecek şekilde silinecektir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

 

Periyodik imha sürecinin takibi konusunda Şirket verileri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak, süreç boyunca tüm idari ve teknik önlemleri almakla yükümlüdür.


  • TEKNİK ve İDARİ TEDBİRLER

Kanun uyarınca kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı işlenmesinin ve/veya bu kişisel verilere hukuka aykırı erişilmesinin önlenmesi ayrıca Saklama ve İmha Süreçlerinin gerekliliği ilan edilen teknik ve idari tedbirlerin yapılandırılmış, güncellenmiş, efektif ve hesap verebilir bir şekilde ELEGANT tarafından alınması esastır.

 

Bu kapsamda uygulanan idari tedbirler aşağıdaki gibidir;

  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Şifreleme yapılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

 

İlgili teknik tedbirler ise şu şekildedir;

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.


  • İLGİLİ KİŞİ BAŞVURULARI HAKKINDA

İlgili kişi, Kanunun 13. maddesine ve Yönetmelik’in 12. maddesine istinaden Veri Sorumlularına Başvuru Usul ve Esasları uyarınca bir başvuru dilekçesi ile Şirkete başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir. 

  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. 
  2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. 
  3. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. Şirket aşağıdaki gerekçelerle veri sorumlusuna ait kişisel verinin silinmesini reddedebilir: 
    1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. 
    2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. 
    3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. 
    4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 
    5. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. 
    6. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. 
    7. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
    8. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
    9. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
    10. Orantısız çaba gerektiren taleplerde bulunulmuş olması
    11. Talep edilen bilginin kamuya açık bir bilgi olması.


  • YAYIN ve SAKLAMA 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da Bilgi İşlem ve İnsan Kaynakları Departmanı dosyasında saklanır.


  • GÜNCELLEME PERİYODU

Politika ihtiyaç duyuldukça ve her 6 (altı) ayda 1 (bir) olmak üzere her yıl gözden geçirilerek gerekli olan bölümler güncellenir. 


  • YÜRÜRLÜK

    1. Politika, 0107.2022 tarihinde yürürlüğe girmiş kabul edilir ve yürürlükten kaldırılmasına veya değiştirilmesine karar verilmesi halinde Müdürler Kurulu Kararı ile iptal edilerek (kırmızı renkli iptal kaşesi vurularak veya iptal yazılarak) yeni hali imzalanır ve ELEGANT inisiyatifine bağlı olarak internet sitesinde yayınlanabilir.  Yeni hali Müdürler Kurulu kararı üzerine yürürlüğe girer. 
    2. İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
    3. Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
    4. Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
    5. Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.


  • KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KAPSAMINDA ŞİRKET İÇİ YÖNETİŞİM

ELEGANT bünyesinde, 6698 sayılı Kanun’a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur. Komite’nin başlıca görevleri aşağıda belirtilmektedir:

  1. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
  2. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içinde gerekli görev dağılımını yapmak ve koordinasyonu sağlamak,
  3. Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
  4. Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirket iş ortakları nezdinde farkındalığı arttırmak,
  5. ELEGANT kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak,
  6. Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip etmek, hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
  7. Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
  8. Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
  9. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
  10. Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
  11. KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
  12. Üst yönetimin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
  13. Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini sunmak.

 

[UN1] – Kullanılan diğer ortamlar var ise bunların belirlenmesi, burada belirtilen ve ancak kullanılmayan bir ortam var ise buradan çıkarılması gerekmektedir.

[UN2] – Anonim hale getirilmiş veri kümelerinde, dolaylı tanımlayıcıların doğru kombinasyonlarla bir araya gelmesi halinde kayıtlardaki kişilerin kimliklerinin saptanabilir olması veya belirli bir kişiye dair bilgilerin rahatlıkla tahmin edilebilir duruma gelmesi anonim hale getirme süreçlerine dair olan güveni sarsmış ve buna istinaden çeşitli istatistiksel yöntemlerle anonim hale getirilmiş veri kümelerinin daha güvenilir duruma getirilmesi gerekmiştir. 

[K – Anonimlik] – Bir veri kümesindeki belirli alanlarla, birden fazla kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engellemek için geliştirilmiştir. Bir veri kümesindeki değişkenlerden bazılarının bir araya getirilerek oluşturulan kombinasyonlara ait birden fazla kayıt bulunması halinde, bu kombinasyona denk gelen kişilerin kimliklerinin saptanabilmesi olasılığı azalmaktadır.

[UN3] – Anonimliğin eksikleri üzerinden yürütülen çalışmalar ile oluşan L – Çeşitlilik yöntemi aynı değişken kombinasyonlarına denk gelen hassas değişkenlerin oluşturduğu çeşitliliği dikkate almaktadır.

[UN4] – Çeşitlilik yöntemi kişisel verilerde çeşitlilik sağlıyor olmasına rağmen, söz konusu yöntem kişisel verilerin içeriğiyle ve hassasiyet derecesiyle ilgilenmediği için yeterli korumayı sağlayamadığı durumlar oluşmaktadır. Bu haliyle kişisel verilerin, değerlerin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayrılarak anonim hale getirilmesi sürecine T – Yakınlık yöntemi denmektedir.

ESTELİT SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ

Müdürler Kurulu