MEKTEK YAPI İNŞ.SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. GİRİŞ VE POLİTİKA’NIN HAZIRLANMA AMACI VE KAPSAMI
6698 sayılı Kişisel Verilerin Korunması Kanunu, 2010 yılında kişisel verilerin korunmasının Anaya-sal bir hak olmasının ardından 2016 yılında yürürlüğe girmiş kişisel verilerin işlenmesi aşamasında özel hayatın gizliliği ilkesini muhafaza etmek ve temel hak ve özgürlüklerin zarar görmemesi adı-na geliştirilmiş bu konu hakkında usul ve esasları gösteren hukuki bir koruma aygıtıdır.
6698 Sayılı Kanunun (“KVKK” ya da “Kanun”) 16. Maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uy-gun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü vardır. İşbu Kişisel Veri Saklama ve İmha Politikası, MEKTEK YAPI İNŞ.SANAYİ VE TİCARET A.Ş.
(‘’Şirket’’) veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin, 6698 sayılı Kanun ve sair mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Mektek Yapı İnş. San. ve Tic. A.Ş. tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Kanunu ve Kanun’un ikincil düzenlemesi olan 28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (‘’Yönetmelik’’) uyarınca Musta-fa Ekşi İnşaat Turizm Sanayi Ve Ticaret Limited Şirketi olarak yükümlülüklerimizi yerine getirmek için hazırlamış olduğumuz kişisel veri saklama ve imha politikası asgari olarak;
a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
b) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına
c) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesin-in önlenmesi için alınmış teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişi-kliğe, ilişkin bilgileri kapsar.
TANIMLAR
Kanun/KVKK, resmi Gazetede yayınlanması ile 7/04/2019 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kurul, kişisel Verileri Koruma Kurulu
Sicil, kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili
Açık Rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her tür bilgi
Kişisel Verilerin İşlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da her-hangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
İmha, Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
- Kişisel verilerin silinmesi, verinin hiçbir şekilde kullanılamaz hale getirilmesi işlemi
- Kişisel verilerin yok edilmesi, verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
- Anonim hale getirilmesi, verinin başka verilerle eşleştirilmesi ile dahi kimliği belirli veya belir-lenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Kayıt Ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı
Kişisel veri işleme envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kate-gorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detay-landırdıkları envanteri
Kişisel veri saklama ve imha politikası, veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika
Periyodik imha, kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalk-ması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Kişisel Verileri Koruma Kanunun ve Yönetmeliğin Tanımladığı Özneler
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
İlgili Kullanıcı, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
Alıcı Grubu, veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi katego-risi
İlgili kişi, kişisel verisi işlenen gerçek kişi
Doğrudan tanımlayıcılar, Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
Dolaylı tanımlayıcılar, Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
GENEL BİLGİLENDİRME VE TEMEL İLKELER
1. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının or-tadan kalkması halinde, kişisel veriler veri sorumlusu sıfatıyla Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından re’sen veya ilgili kişinin talebi üzerine silinip, yok edilmekte ve-ya anonim hale getirilmektedir.
2. İlgili kişinin Kanun ‘nun 11 nci maddesinde yazılı herhangi bir hakkını kullanmak adına ta-rafımıza iletmiş olduğu talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
3. Mektek yapi İnş.Sanayi ve Ticaret A.Ş. kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 2 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket etmektedir.
4. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlem-ler Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından kayıt altına alınmaktadır.
5. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını veri sorumlusu sıfatıyla seçmekteyiz. Ancak, ilgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilebilecektir.
KAYIT ORTAMLARI
İlgili kişilere ait kişisel veriler, tarafından aşağıda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Elektronik ortamlar:
1. EXCHANGE SERVER
2. TIGER LOGO – BORDRO
3. FILE SERVER
4. CRYPTOLOG
5. CRM SERVER
6. DC DHCP 8
7. DC
8. DC 2
Fiziksel ortamlar:
1. Birim Dolapları
2. ARŞİV
KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
İşlenen kişisel veriler, Mektek Yapı İnş. San. ve Tic. A.Ş. ürün ve hizmetlerinin türü ve niteliğine göre değişebilmektedir.
İlgili kişilere ait kişisel veriler, veri sorumlusu sıfatıyla Mektek yapi İnş.Sanayi ve Ticaret A.Ş. tarafından kanunlarda açıkça öngörülmesi, ticari ve iş stratejilerinin belirlenmesi; iş akdi, satış ve hizmet sözleşmeleri gibi karşılıklı edimlerin ifası için gerekli olan çalışan ve müşterilere ait verileri fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Daha açık bir ifadeyle saklamayı gerektiren hukuki amaç ve sebepler aşağıdaki gibidir:
1. Ticari faaliyetlerin sürdürülebilmesi,
2. Hukuki yükümlülüklerin yerine getirilebilmesi,
3. Çalışan haklarının ve yan haklarının planlanması ve ifası,
4. Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
5. Müşteri ilişkilerini yönetebilmesi,
6. Bir hakkın tesisi, kullanılması veya korunması,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması,
8. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
9. KVKK Madde 5/2’de sayılan şartlardan birinin varlığından söz edilemeyecek durumlarda, saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması ,
10. Fiziksel mekan güvenliğinin temini,
11. Ücret politikasının yürütülmesi sebepleriyle kanun ve yönetmeliğin çizdiği sınırlar çerçevesinde saklanmaktadır.
Yönetmelik ve kanunun çizdiği sınırlar çerçevesinde, aşağıda sayılan hallerde talep ile veya re’sen Mektek Yapı İnş. San. ve Tic. A.Ş. tarafından;
1. İlgili kişinin, Kanun’un 11.maddesindeki haklarını kullanmak suretiyle verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabulü,
2. Veri sorumlusunun, ilgili kişinin Kanun’un 11.maddesindeki haklarını kullanarak başvurmasına karşın cevap vermemesi, başvuruyu reddetmesi ya da cevabın yetersiz ol-ması sebepleriyle ilgili kişinin Kurul’a şikayette bulunması ve Kurul tarafından uygun bulun-ması,
3. Kişisel verinin açık rıza ile işlenmiş bulunup, ilgili kişinin bu açık rızasını geri alması,
4. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel ver-ileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
5. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
6. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
7. Kanun’un 5. Ve 6. Maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması hallerinde SİLİNİR, YOK EDİLİR, ANONİM HALE GETİRİLECEKTİR.
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması ve hukuka aykırı olarak işlenmesi ve erişilmesin-in önlenmesi; hukuka uygun olarak imha edilmesi için veri sorumlusu Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından alınmış idari ve teknik tedbirler aşağıda sayılmıştır.
5.1. İdari Tedbirler ve Teknik Tedbirler
Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından alınan idari ve Teknik tedbirler;
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Anahtar yönetimi uygulanmaktadır
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve
• KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Şifreleme yapılmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.
SAKLAMA VE İMHA SÜRELERİ
Veri sorumlusu Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından Kanun ve ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda belirtilen ölçütlerden yararlanılmaktadır:
1. Kanun veya yönetmeliklerde, kişisel verinin saklanmasına ve imhasına ilişkin öngörülmüş olan süreye uyulmaktadır. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.
2. Söz konusu kişisel verinin saklanmasına ilişkin olarak kanunda veya yönetmeliklerde ön-görülen sürenin sona ermesi veya ilgili söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
• Kanun’un 6.maddesine göre özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve sak-lanmasının Mektek Yapı İnş. San. ve Tic. A.Ş. açısından önem derecesine göre belirlenir.
• Verinin saklanmasının Kanun’nun 4. maddesinde belirtilen ilkelere uygunluğu sorgulanır. Saklanmasının Kanun’nun 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
• Verinin saklanmasının Kanun’nun 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürel-erin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
KİŞİSEL VERİLERİN İMHA USULLERİ
1.Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu Mektek yapı İnş. Sanayi ve Ticaret A.Ş, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmiştir.
Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntem-lerle silinmeleri gerekir. Buna ilişkin örnekler aşağıda yer almaktadır:
1.1. Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox gibi)
Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi bulunmamaktadır.
1.2. Kağıt Ortamında Bulunan Kişisel Veriler
Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunama-yacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
1.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
1.4. Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uy-gun yazılımlar kullanılarak silinmektedir.
1.5. Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile (DELETE vb.) silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.
2.Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu Mektek yapı İnş. Sa-nayi ve Ticaret A.Ş kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmiştir.
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilir ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmektedir:
2.1. Yerel Sistemler
Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılmaktadır.
2.1.1. De-manyetize Etme
Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılarak üzerindeki veriler okunamaz biçimde bozulmaktadır
2.1.2. Fiziksel Yok Etme
Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medya da fiziksel olarak yok edilmektedir.
2.1.3. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
2.2. Çevresel Sistemler
Ortam türüne bağlı olarak kullanılan yok etme yöntemleri aşağıda yer almaktadır:
2.2.1. Ağ cihazları (switch, router vb.)
Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
2.2.2. Flash tabanlı ortamlar
Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa ‘block erase’ komutunu, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini ya da yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak sure-tiyle yok edilmektedir.
2.2.3. Manyetik bant
Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.
2.2.4. Manyetik disk gibi üniteler
Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile sak-layan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.
2.2.5. Mobil telefonlar (Sim kart ve sabit hafıza alanları)
Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Yerel belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
2.2.6. Optik diskler
CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.
2.2.7. Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
2.2.8. Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulun-mamaktadır. Yerel belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
2.3. Kağıt ve Mikrofiş Ortamları
Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortam yok edilmektedir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, geri birleştirilemeyecek şekilde küçük parçalara bölmek gere-kir.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulun-dukları elektronik ortama göre yerel sistemlerde belirtilen yöntemlerin bir ya da birkaçı kullanılarak yok edilmektedir.
2.4. Bulut Ortamı
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kripto-grafik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmaktadır. Bulut bilişim hiz-met ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anah-tarlarının tüm kopyaları yok edilmektedir.
Yukarıdaki ortamlara ek olarak; arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
i) İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılma-dan önce içinde yer alan kişisel verilerin yerel sistemlerde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
ii) Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
iii) Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması, yöntemlerinden biri kullanılmaktadır.
Kişisel Verilerin Anonim Hale Getirme
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Veri sorumlusu Mektek yapı İnş. Sanayi ve Ticaret A.Ş, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almış bulunmaktadır. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıdaki yöntemlerle gerçekleştirilmektedir.
3.1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
düzensizliği sağlamayan yöntemlerde kümedeki verilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılır. Böylelikle verinin genelinde değişiklik yaşanırken, alan-lardaki değerler orijinal hallerini korurlar. Değer düzensizliği sağlamayan anonim hale getirme yöntemlerinden bazıları aşağıda örneklerle açıklanmıştır:
3.1.1. Değişkenleri Çıkartma
Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır. Bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılmaktadır.
3.1.2. Kayıtları Çıkartma
Bu yöntemde veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği kayıtlardır.
Örneğin anket sonuçlarının yer aldığı bir veri kümesinde, herhangi bir sektörden yalnızca tek bir kişi ankete dahil edilmiş olsun. Böyle bir durumda tüm anket sonuçlarından “sektör” değişkenini çıkartmaktansa sadece bu kişiye ait kaydı çıkartmak tercih edilir.
3.1.3. Bölgesel Gizleme
Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edile-bilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.
Örneğin aşağıdaki tabloda yaş, cinsiyet ve meslek ayrımına göre HIV durumu görülmektedir. Bu tabloda Yaş=3 olan kayıt bir çocuğa ait olduğundan istisnai bir durum yaratmakta ve tahmin edilebilirlik ve çocuğun ailesine dair varsayımlar yapılması riskini arttırmaktadır. Bu sebeple; bölgesel gizleme yöntemi ile bahsedilen kaydın yaş hanesi “bilinmiyor” olarak değiştirilirse ve aşağıdaki tabloda yeni durum elde edilirse, veri kümesine dair tahmin edilebilirlik riskinde azalma sağlanacaktır.
Bu sebeple; bölgesel gizleme yöntemi ile bahsedilen kaydın yaş hanesi “bilinmiyor” olarak değiştirilirse ve aşağıdaki tabloda yeni durum elde edilirse, veri kümesine dair tahmin edilebilirlik riskinde azalma sağlanacaktır.
3.1.4. Genelleştirme
İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Kümülatif raporlar üretirken ve toplam rakamlar üzerinden yürütülen operasyonlarda en çok kullanılan yöntemdir. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.
Örneğin TC Kimlik No 12345678901 olan bir kişi e-ticaret platformundan çocuk bezi aldıktan sonra aynı zamanda ıslak mendil de almış olsun. Yapılacak anonim hale getirme işleminde genelleştirme yöntemi kullanılarak e-ticaret platformundan çocuk bezi alan kişilerin %xx’i aynı zamanda ıslak mendil de satın alıyor şeklinde bir sonuca ulaşılabilir.
3.1.5. Alt ve Üst Sınır Kodlama
Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir.
Aşağıdaki tabloda orijinal veri kümesini, ikinci tabloda ise seçilen değişkenlerin alt ve üst sınır kodlaması yapılarak yeniden tasarlanmış ve anonim hale getirilmiş şeklini göstermektedir.
Tablodaki Gelir ve Harcamalar değişkenlerine ait değerler alt ve üst sınır kodlama yöntemi ile aşağıdaki şekilde değiştirilir;
Gelir (Yıllık):
Düşük = 100.000’den küçük ve eşit değerler;
Orta = 100.000 ve 120.000 arası değerler;
Yüksek = 120.000’den büyük ve eşit değerler,
Harcamalar (Aylık):
Düşük = 10.000’den küçük ve eşit değerler;
Orta = 10.000 ve 11.000 arası değerler;
Yüksek = 11.000’den yüksek ve eşit değerler,
Bu kodlamaya göre anonim hale getirilmiş tablo aşağıdaki şekli alacaktır.
3.1.6. Global Kodlama
Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.
Aşağıdaki tabloda orijinal veri kümesini, sonrakinde ise global kodlama uygulamasından sonra-ki anonim hale getirilmiş veri kümesini göstermektedir.
Bu veri kümesinde tek bir ilçedeki kadınların nüfusuna ait verinin meslek değişkeninde iki katego-ride yığılma görüldüğünden söz konusu iki kategorinin birleşiminden tek bir kategori elde edilebil-ir ve bu durumda veri daha güvenli hale getirilmiş olur.
3.1.7. Örnekleme
Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da pay-laşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.
Örneğin; İstanbul ilinde yaşayan kadınların demografik bilgileri, meslekleri ve sağlık durumlarına dair bir veri kümesinin anonim hale getirilerek açıklanması ya da paylaşılması halinde İstanbul’da yaşadığı bilinen bir kadına dair ilgili veri kümesinde taramalar yapmak ve tahmin yürütmek an-lamlı olabilir.
Ancak ilgili veri kümesinde yalnızca nüfusa kayıtlı olduğu il İstanbul olan kadınların kayıtları bırakılır, nüfus kaydı diğer illerde olanlar veri kümesinden çıkartılarak anonimleştirme uygulanır ve veri açıklanır ya da paylaşılırsa, veriye erişen kişi, İstanbul’da yaşadığını bildiği bir kadının nüfus kaydının İstanbul’da olup olmadığını tahmin edemeyeceğinden tanıdığı bu kişiye ait bilgilerin elin-deki verinin içerisinde yer alıp almadığına dair güvenilir bir tahmin yürütemeyecektir.
3.2. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak; mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Bu durumda kayıtların taşıdığı değerler değişmekte olduğundan veri kümesinden elde edilmesi planlanan faydanın doğru hesaplanması gerekmektedir. Veri kümesindeki değerler değişiyor olsa bile top-lam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir.
Değer düzensizliği sağlayan anonim hale getirme yöntemlerinden bazıları aşağıda örneklerle açıklanmıştır:
3.2.1. Mikro Birleştirme
Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasın-da bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.
Aşağıdaki tablodaki kayıtlar “Gelir” sütunundaki değişkenler, değerlerine göre birbirine yakın olan üçerli gruplara ayrılmış ve gruplar renk kodlarıyla işaretlenmiştir. Her grup içindeki değerlerin aritmetik ortalaması alınmış ve gruptaki tüm kayıtlara, bulunan yeni değerler atanarak orijinal değeri tespit edebilmek engellenmiştir.
Grup 1 için mikro birleştirme sonucunda yeni değer :
(25.000 + 28.000 + 37.000) / 3 = 30.000
Grup 2 için mikro birleştirme sonucunda yeni değer :
(49.000 + 56.000 + 60.000) / 3 = 55.000
3.2.2. Veri Değiş Tokuşu
Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kat-egorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.
Yukarıdaki tabloda orijinal değerleri içeren kayıtlara sahiptir.
Aşağıdaki tabloda veri değiş tokuşu işlemi sonucunda elde edilen yeni veri kümesini içermekte-dir. Söz konusu tablodan görüleceği üzere Yaş = “24”, Cinsiyet = “K”, İl = “Ankara” olan kayda ait gelir bilgisi ile Yaş = “45”, Cinsiyet = “E”, İl = “İzmir” olan kaydın gelir bilgisi birbirleriyle değiştirilmiştir. Aynı şekilde Yaş = “35”, Cinsiyet = “E”, İl = “İzmir” olan kayda ait gelir bilgisi ile Yaş = “50”, Cinsiyet = “E”, İl = “İzmir” olan kayıtların gelir bilgisi birbirleriyle değiştirilmiş ve yeni veri kümesi oluşturulmuştur.
3.2.3. Gürültü Ekleme
Bu yöntem ile, seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bo-zulma her değerde eşit ölçüde uygulanır.
Gürültü ekleme orijinal veri kümesi tablosunda gelir değişkenleri için her bir kaydın değerlerine +80.000 işlemi uygulanmış ve Gürültü Ekleme Sonucu Elde Edilen Veri Kümesi tablosunda yeni değişkenler oluşmuştur.
8. PERSONEL (KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASINDA YER ALAN) UNVAN, BİRİM VE GÖREV LİSTESİ
9. SAKLAMA VE İMHA SÜRELERİ TABLOSU
Şirket tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiş olup, anılan Envanter’e http://www.mektekyapi.com/tr linki üzerinden erişilebilecektir.
10. GÜNCELLEMELER
İşbu politikada, kanun ve yönetmeliklere ve veri sorumlusu sıfatına haiz Mektek Yapı İnş. San. ve Tic. A.Ş. ‘ın aldığı kararlara göre yapılan değişiklikler aşağıdaki tablodadır.
11. REFERANS DÖKÜMANLAR
-6698 Sayılı Kişisel Verilerin Korunması Kanunun
-30224 Sayılı 28.10.2018 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik
6698 sayılı Kişisel Verilerin Korunması Kanunu, 2010 yılında kişisel verilerin korunmasının Anaya-sal bir hak olmasının ardından 2016 yılında yürürlüğe girmiş kişisel verilerin işlenmesi aşamasında özel hayatın gizliliği ilkesini muhafaza etmek ve temel hak ve özgürlüklerin zarar görmemesi adı-na geliştirilmiş bu konu hakkında usul ve esasları gösteren hukuki bir koruma aygıtıdır.
6698 Sayılı Kanunun (“KVKK” ya da “Kanun”) 16. Maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uy-gun olarak kişisel veri saklama ve imha politikası hazırlama yükümlülüğü vardır. İşbu Kişisel Veri Saklama ve İmha Politikası, MEKTEK YAPI İNŞ.SANAYİ VE TİCARET A.Ş.
(‘’Şirket’’) veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin, 6698 sayılı Kanun ve sair mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Mektek Yapı İnş. San. ve Tic. A.Ş. tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Kanunu ve Kanun’un ikincil düzenlemesi olan 28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (‘’Yönetmelik’’) uyarınca Musta-fa Ekşi İnşaat Turizm Sanayi Ve Ticaret Limited Şirketi olarak yükümlülüklerimizi yerine getirmek için hazırlamış olduğumuz kişisel veri saklama ve imha politikası asgari olarak;
a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
b) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına
c) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesin-in önlenmesi için alınmış teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişi-kliğe, ilişkin bilgileri kapsar.
TANIMLAR
Kanun/KVKK, resmi Gazetede yayınlanması ile 7/04/2019 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kurul, kişisel Verileri Koruma Kurulu
Sicil, kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili
Açık Rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
Kişisel Veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her tür bilgi
Kişisel Verilerin İşlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da her-hangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
İmha, Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
- Kişisel verilerin silinmesi, verinin hiçbir şekilde kullanılamaz hale getirilmesi işlemi
- Kişisel verilerin yok edilmesi, verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi
- Anonim hale getirilmesi, verinin başka verilerle eşleştirilmesi ile dahi kimliği belirli veya belir-lenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Kayıt Ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı
Kişisel veri işleme envanteri, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kate-gorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detay-landırdıkları envanteri
Kişisel veri saklama ve imha politikası, veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika
Periyodik imha, kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalk-ması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Kişisel Verileri Koruma Kanunun ve Yönetmeliğin Tanımladığı Özneler
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
İlgili Kullanıcı, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
Alıcı Grubu, veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi katego-risi
İlgili kişi, kişisel verisi işlenen gerçek kişi
Doğrudan tanımlayıcılar, Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
Dolaylı tanımlayıcılar, Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
GENEL BİLGİLENDİRME VE TEMEL İLKELER
1. Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının or-tadan kalkması halinde, kişisel veriler veri sorumlusu sıfatıyla Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından re’sen veya ilgili kişinin talebi üzerine silinip, yok edilmekte ve-ya anonim hale getirilmektedir.
2. İlgili kişinin Kanun ‘nun 11 nci maddesinde yazılı herhangi bir hakkını kullanmak adına ta-rafımıza iletmiş olduğu talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
3. Mektek yapi İnş.Sanayi ve Ticaret A.Ş. kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 2 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket etmektedir.
4. Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlem-ler Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından kayıt altına alınmaktadır.
5. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını veri sorumlusu sıfatıyla seçmekteyiz. Ancak, ilgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilebilecektir.
KAYIT ORTAMLARI
İlgili kişilere ait kişisel veriler, tarafından aşağıda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Elektronik ortamlar:
1. EXCHANGE SERVER
2. TIGER LOGO – BORDRO
3. FILE SERVER
4. CRYPTOLOG
5. CRM SERVER
6. DC DHCP 8
7. DC
8. DC 2
Fiziksel ortamlar:
1. Birim Dolapları
2. ARŞİV
KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
İşlenen kişisel veriler, Mektek Yapı İnş. San. ve Tic. A.Ş. ürün ve hizmetlerinin türü ve niteliğine göre değişebilmektedir.
İlgili kişilere ait kişisel veriler, veri sorumlusu sıfatıyla Mektek yapi İnş.Sanayi ve Ticaret A.Ş. tarafından kanunlarda açıkça öngörülmesi, ticari ve iş stratejilerinin belirlenmesi; iş akdi, satış ve hizmet sözleşmeleri gibi karşılıklı edimlerin ifası için gerekli olan çalışan ve müşterilere ait verileri fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Daha açık bir ifadeyle saklamayı gerektiren hukuki amaç ve sebepler aşağıdaki gibidir:
1. Ticari faaliyetlerin sürdürülebilmesi,
2. Hukuki yükümlülüklerin yerine getirilebilmesi,
3. Çalışan haklarının ve yan haklarının planlanması ve ifası,
4. Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
5. Müşteri ilişkilerini yönetebilmesi,
6. Bir hakkın tesisi, kullanılması veya korunması,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması,
8. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
9. KVKK Madde 5/2’de sayılan şartlardan birinin varlığından söz edilemeyecek durumlarda, saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması ,
10. Fiziksel mekan güvenliğinin temini,
11. Ücret politikasının yürütülmesi sebepleriyle kanun ve yönetmeliğin çizdiği sınırlar çerçevesinde saklanmaktadır.
Yönetmelik ve kanunun çizdiği sınırlar çerçevesinde, aşağıda sayılan hallerde talep ile veya re’sen Mektek Yapı İnş. San. ve Tic. A.Ş. tarafından;
1. İlgili kişinin, Kanun’un 11.maddesindeki haklarını kullanmak suretiyle verilerinin silinmesini, yok edilmesini veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabulü,
2. Veri sorumlusunun, ilgili kişinin Kanun’un 11.maddesindeki haklarını kullanarak başvurmasına karşın cevap vermemesi, başvuruyu reddetmesi ya da cevabın yetersiz ol-ması sebepleriyle ilgili kişinin Kurul’a şikayette bulunması ve Kurul tarafından uygun bulun-ması,
3. Kişisel verinin açık rıza ile işlenmiş bulunup, ilgili kişinin bu açık rızasını geri alması,
4. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel ver-ileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
5. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
6. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
7. Kanun’un 5. Ve 6. Maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması hallerinde SİLİNİR, YOK EDİLİR, ANONİM HALE GETİRİLECEKTİR.
İlgili kişinin hakları
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
MADDE 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması ve hukuka aykırı olarak işlenmesi ve erişilmesin-in önlenmesi; hukuka uygun olarak imha edilmesi için veri sorumlusu Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından alınmış idari ve teknik tedbirler aşağıda sayılmıştır.
5.1. İdari Tedbirler ve Teknik Tedbirler
Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından alınan idari ve Teknik tedbirler;
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Anahtar yönetimi uygulanmaktadır
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve
• KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Şifreleme yapılmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.
SAKLAMA VE İMHA SÜRELERİ
Veri sorumlusu Mektek yapı İnş. Sanayi ve Ticaret A.Ş tarafından Kanun ve ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda belirtilen ölçütlerden yararlanılmaktadır:
1. Kanun veya yönetmeliklerde, kişisel verinin saklanmasına ve imhasına ilişkin öngörülmüş olan süreye uyulmaktadır. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.
2. Söz konusu kişisel verinin saklanmasına ilişkin olarak kanunda veya yönetmeliklerde ön-görülen sürenin sona ermesi veya ilgili söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
• Kanun’un 6.maddesine göre özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve sak-lanmasının Mektek Yapı İnş. San. ve Tic. A.Ş. açısından önem derecesine göre belirlenir.
• Verinin saklanmasının Kanun’nun 4. maddesinde belirtilen ilkelere uygunluğu sorgulanır. Saklanmasının Kanun’nun 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
• Verinin saklanmasının Kanun’nun 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürel-erin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
KİŞİSEL VERİLERİN İMHA USULLERİ
1.Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu Mektek yapı İnş. Sanayi ve Ticaret A.Ş, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmiştir.
Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntem-lerle silinmeleri gerekir. Buna ilişkin örnekler aşağıda yer almaktadır:
1.1. Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox gibi)
Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi bulunmamaktadır.
1.2. Kağıt Ortamında Bulunan Kişisel Veriler
Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunama-yacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
1.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinir veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
1.4. Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uy-gun yazılımlar kullanılarak silinmektedir.
1.5. Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile (DELETE vb.) silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.
2.Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu Mektek yapı İnş. Sa-nayi ve Ticaret A.Ş kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmiştir.
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilir ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmektedir:
2.1. Yerel Sistemler
Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılmaktadır.
2.1.1. De-manyetize Etme
Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılarak üzerindeki veriler okunamaz biçimde bozulmaktadır
2.1.2. Fiziksel Yok Etme
Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medya da fiziksel olarak yok edilmektedir.
2.1.3. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
2.2. Çevresel Sistemler
Ortam türüne bağlı olarak kullanılan yok etme yöntemleri aşağıda yer almaktadır:
2.2.1. Ağ cihazları (switch, router vb.)
Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
2.2.2. Flash tabanlı ortamlar
Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa ‘block erase’ komutunu, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini ya da yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak sure-tiyle yok edilmektedir.
2.2.3. Manyetik bant
Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.
2.2.4. Manyetik disk gibi üniteler
Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile sak-layan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.
2.2.5. Mobil telefonlar (Sim kart ve sabit hafıza alanları)
Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Yerel belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
2.2.6. Optik diskler
CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.
2.2.7. Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
2.2.8. Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri
Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulun-mamaktadır. Yerel belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmektedir.
2.3. Kağıt ve Mikrofiş Ortamları
Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortam yok edilmektedir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, geri birleştirilemeyecek şekilde küçük parçalara bölmek gere-kir.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulun-dukları elektronik ortama göre yerel sistemlerde belirtilen yöntemlerin bir ya da birkaçı kullanılarak yok edilmektedir.
2.4. Bulut Ortamı
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kripto-grafik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmaktadır. Bulut bilişim hiz-met ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anah-tarlarının tüm kopyaları yok edilmektedir.
Yukarıdaki ortamlara ek olarak; arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
i) İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılma-dan önce içinde yer alan kişisel verilerin yerel sistemlerde belirtilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
ii) Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
iii) Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması, yöntemlerinden biri kullanılmaktadır.
Kişisel Verilerin Anonim Hale Getirme
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Veri sorumlusu Mektek yapı İnş. Sanayi ve Ticaret A.Ş, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almış bulunmaktadır. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıdaki yöntemlerle gerçekleştirilmektedir.
3.1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri
düzensizliği sağlamayan yöntemlerde kümedeki verilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılır. Böylelikle verinin genelinde değişiklik yaşanırken, alan-lardaki değerler orijinal hallerini korurlar. Değer düzensizliği sağlamayan anonim hale getirme yöntemlerinden bazıları aşağıda örneklerle açıklanmıştır:
3.1.1. Değişkenleri Çıkartma
Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılacaktır. Bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılmaktadır.
3.1.2. Kayıtları Çıkartma
Bu yöntemde veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği kayıtlardır.
Örneğin anket sonuçlarının yer aldığı bir veri kümesinde, herhangi bir sektörden yalnızca tek bir kişi ankete dahil edilmiş olsun. Böyle bir durumda tüm anket sonuçlarından “sektör” değişkenini çıkartmaktansa sadece bu kişiye ait kaydı çıkartmak tercih edilir.
3.1.3. Bölgesel Gizleme
Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edile-bilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.
Örneğin aşağıdaki tabloda yaş, cinsiyet ve meslek ayrımına göre HIV durumu görülmektedir. Bu tabloda Yaş=3 olan kayıt bir çocuğa ait olduğundan istisnai bir durum yaratmakta ve tahmin edilebilirlik ve çocuğun ailesine dair varsayımlar yapılması riskini arttırmaktadır. Bu sebeple; bölgesel gizleme yöntemi ile bahsedilen kaydın yaş hanesi “bilinmiyor” olarak değiştirilirse ve aşağıdaki tabloda yeni durum elde edilirse, veri kümesine dair tahmin edilebilirlik riskinde azalma sağlanacaktır.
Bu sebeple; bölgesel gizleme yöntemi ile bahsedilen kaydın yaş hanesi “bilinmiyor” olarak değiştirilirse ve aşağıdaki tabloda yeni durum elde edilirse, veri kümesine dair tahmin edilebilirlik riskinde azalma sağlanacaktır.
3.1.4. Genelleştirme
İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Kümülatif raporlar üretirken ve toplam rakamlar üzerinden yürütülen operasyonlarda en çok kullanılan yöntemdir. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.
Örneğin TC Kimlik No 12345678901 olan bir kişi e-ticaret platformundan çocuk bezi aldıktan sonra aynı zamanda ıslak mendil de almış olsun. Yapılacak anonim hale getirme işleminde genelleştirme yöntemi kullanılarak e-ticaret platformundan çocuk bezi alan kişilerin %xx’i aynı zamanda ıslak mendil de satın alıyor şeklinde bir sonuca ulaşılabilir.
3.1.5. Alt ve Üst Sınır Kodlama
Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak ilerlenir.
Aşağıdaki tabloda orijinal veri kümesini, ikinci tabloda ise seçilen değişkenlerin alt ve üst sınır kodlaması yapılarak yeniden tasarlanmış ve anonim hale getirilmiş şeklini göstermektedir.
Tablodaki Gelir ve Harcamalar değişkenlerine ait değerler alt ve üst sınır kodlama yöntemi ile aşağıdaki şekilde değiştirilir;
Gelir (Yıllık):
Düşük = 100.000’den küçük ve eşit değerler;
Orta = 100.000 ve 120.000 arası değerler;
Yüksek = 120.000’den büyük ve eşit değerler,
Harcamalar (Aylık):
Düşük = 10.000’den küçük ve eşit değerler;
Orta = 10.000 ve 11.000 arası değerler;
Yüksek = 11.000’den yüksek ve eşit değerler,
Bu kodlamaya göre anonim hale getirilmiş tablo aşağıdaki şekli alacaktır.
3.1.6. Global Kodlama
Global kodlama yöntemi alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtlar bu yeni tanım ile değiştirilir.
Aşağıdaki tabloda orijinal veri kümesini, sonrakinde ise global kodlama uygulamasından sonra-ki anonim hale getirilmiş veri kümesini göstermektedir.
Bu veri kümesinde tek bir ilçedeki kadınların nüfusuna ait verinin meslek değişkeninde iki katego-ride yığılma görüldüğünden söz konusu iki kategorinin birleşiminden tek bir kategori elde edilebil-ir ve bu durumda veri daha güvenli hale getirilmiş olur.
3.1.7. Örnekleme
Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da pay-laşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur. Örnekleme yapılacak alt kümenin belirlenmesinde basit istatistik metotları kullanılır.
Örneğin; İstanbul ilinde yaşayan kadınların demografik bilgileri, meslekleri ve sağlık durumlarına dair bir veri kümesinin anonim hale getirilerek açıklanması ya da paylaşılması halinde İstanbul’da yaşadığı bilinen bir kadına dair ilgili veri kümesinde taramalar yapmak ve tahmin yürütmek an-lamlı olabilir.
Ancak ilgili veri kümesinde yalnızca nüfusa kayıtlı olduğu il İstanbul olan kadınların kayıtları bırakılır, nüfus kaydı diğer illerde olanlar veri kümesinden çıkartılarak anonimleştirme uygulanır ve veri açıklanır ya da paylaşılırsa, veriye erişen kişi, İstanbul’da yaşadığını bildiği bir kadının nüfus kaydının İstanbul’da olup olmadığını tahmin edemeyeceğinden tanıdığı bu kişiye ait bilgilerin elin-deki verinin içerisinde yer alıp almadığına dair güvenilir bir tahmin yürütemeyecektir.
3.2. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri
Değer düzensizliği sağlayan yöntemlerle yukarıda bahsedilen yöntemlerden farklı olarak; mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılır. Bu durumda kayıtların taşıdığı değerler değişmekte olduğundan veri kümesinden elde edilmesi planlanan faydanın doğru hesaplanması gerekmektedir. Veri kümesindeki değerler değişiyor olsa bile top-lam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir.
Değer düzensizliği sağlayan anonim hale getirme yöntemlerinden bazıları aşağıda örneklerle açıklanmıştır:
3.2.1. Mikro Birleştirme
Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasın-da bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.
Aşağıdaki tablodaki kayıtlar “Gelir” sütunundaki değişkenler, değerlerine göre birbirine yakın olan üçerli gruplara ayrılmış ve gruplar renk kodlarıyla işaretlenmiştir. Her grup içindeki değerlerin aritmetik ortalaması alınmış ve gruptaki tüm kayıtlara, bulunan yeni değerler atanarak orijinal değeri tespit edebilmek engellenmiştir.
Grup 1 için mikro birleştirme sonucunda yeni değer :
(25.000 + 28.000 + 37.000) / 3 = 30.000
Grup 2 için mikro birleştirme sonucunda yeni değer :
(49.000 + 56.000 + 60.000) / 3 = 55.000
3.2.2. Veri Değiş Tokuşu
Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kat-egorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.
Yukarıdaki tabloda orijinal değerleri içeren kayıtlara sahiptir.
Aşağıdaki tabloda veri değiş tokuşu işlemi sonucunda elde edilen yeni veri kümesini içermekte-dir. Söz konusu tablodan görüleceği üzere Yaş = “24”, Cinsiyet = “K”, İl = “Ankara” olan kayda ait gelir bilgisi ile Yaş = “45”, Cinsiyet = “E”, İl = “İzmir” olan kaydın gelir bilgisi birbirleriyle değiştirilmiştir. Aynı şekilde Yaş = “35”, Cinsiyet = “E”, İl = “İzmir” olan kayda ait gelir bilgisi ile Yaş = “50”, Cinsiyet = “E”, İl = “İzmir” olan kayıtların gelir bilgisi birbirleriyle değiştirilmiş ve yeni veri kümesi oluşturulmuştur.
3.2.3. Gürültü Ekleme
Bu yöntem ile, seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bo-zulma her değerde eşit ölçüde uygulanır.
Gürültü ekleme orijinal veri kümesi tablosunda gelir değişkenleri için her bir kaydın değerlerine +80.000 işlemi uygulanmış ve Gürültü Ekleme Sonucu Elde Edilen Veri Kümesi tablosunda yeni değişkenler oluşmuştur.
8. PERSONEL (KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASINDA YER ALAN) UNVAN, BİRİM VE GÖREV LİSTESİ
9. SAKLAMA VE İMHA SÜRELERİ TABLOSU
Şirket tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiş olup, anılan Envanter’e http://www.mektekyapi.com/tr linki üzerinden erişilebilecektir.
10. GÜNCELLEMELER
İşbu politikada, kanun ve yönetmeliklere ve veri sorumlusu sıfatına haiz Mektek Yapı İnş. San. ve Tic. A.Ş. ‘ın aldığı kararlara göre yapılan değişiklikler aşağıdaki tablodadır.
11. REFERANS DÖKÜMANLAR
-6698 Sayılı Kişisel Verilerin Korunması Kanunun
-30224 Sayılı 28.10.2018 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik