BOROVALI OTOMOTİV SANAYİ ve TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. Amaç 

Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında Borovalı Otomotiv Sanayi ve Ticaret A.Ş.’nin (Bundan sonra “Şirket” olarak adlandırılacaktır) kişisel ve şirket verilerinin, tamamen veya kısmen sistematik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla işlenen verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kuralların belirlenmesini amaçlamaktadır.

2. Kapsam

Politika, Şirket nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri, tüm Şirket çalışanlarını, yöneticilerini, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, dış hizmeti sağlayıcılarını, çalışan adaylarını, ziyaretçileri ve Şirket’in sair hukuki ilişkiye girdiği gerçek ve tüzel kişileri kapsamaktadır.

Politika Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır.

3. Tanımlar

Kişisel Veri : Gerçek kişinin tanımlanmasını sağlayan her türlü veri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,  

De-manyetize etme: Manyetik medyanın özel bir cihaz kullanılarak manyetik alana maruz bırakılarak verilerin okunamaz şekilde bozulmasını,

Fiziksel Yok Etme: Ortamların, kırpıcı, öğütücü gibi cihazlar kullanılarak toz haline getirilmesini,

Üzerine Yazma: Üzerine yeniden yazılabilir ortamların üzerine özel yazılımlar kullanılarak en az 8-9 kez rastgele verilerin yazılarak eski verinin kurtarılamaz hale getirilmesini ifade eder.

 

4. Sorumluluk ve Görev Dağılımı

Tüm şirket çalışanları bu politikada belirtilen teknik ve idari tedbirlerin uygulanması konusunda gerekli özen ve hassasiyeti gösterir ve ilgili sorumlulara destek verir.  

Unvan

Görev

KVKK Birim Sorumluları

Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur

KVK Komitesi

Politikanın onaylanması ve çalışanların politikaya uygun hareket etmesinden sorumludur.

Bilgi Teknolojileri Departmanı

Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur

Personel

Politikaya uygun hareket etmekten sorumludur.

 

4.1.1. Saklama Sorumluluğu Departman Yöneticileri : 

Kendi birimlerine ait basılı dokümanların fiziksel olarak gerekli güvenlik önlemleri alınarak saklanmasından sorumludur.

Arşiv Sorumlusu:  

Arşive kaldırılması gereken doküman ve kayıtların düzenli olarak arşivlenmesi, doküman envanteri tutulması ve fiziksel olarak gerekli güvenlik önlemleri alınarak saklanmasından sorumludur.  

Bilgi Teknolojileri Müdürü/ Yöneticisi:  

Şirketin tüm kurumsal uygulama ve dosya sistemleri üzerindeki verilerin tüm altyapı ve sistemsel güvenliği sağlanarak ilgili saklama ortamlarında saklamak, periyodik olarak yedeklerini almaktan sorumludur.

4.1.2. İmha Sorumluluğu

  • Bilgi Teknolojileri:

İmha edilecek ortamların güvenli şekilde imha edilebilmesi için, imha yöntemlerine ilişkin güvenli tekniklerin belirlenmesi aşamasında yönlendirme sağlanmasından sorumludur.  

  • İlgili Departman Yöneticisi: 

Periyodik imha dönemlerinde, sorumluluğunda bulunan departmanlarda imha edilmesi gereken şirket ve kişisel verilerin takibini yapmak ve imha sürecine dahil olmasını sağlamaktan sorumludur.

  • Bilgi Güvenliği Komitesi Temsilcisi/ KVK Komitesi Temsilcisi:

Ortamların güvenli bir şekilde imha edilebilmesi için imha yöntem ve tekniklerinin belirlenmesinden, uygulamaya geçilmesinden ve ortamların imha edilmesi için onay verilmesinden sorumludur.

5. Politika

5.1. Saklama Politikası

  • Tüm veriler ilgili bilgi güvenliği ve kişisel veri sınıfına göre uygun koşullarda saklanmalıdır.
  • Tüm verilere ilişkin detaylı “Saklama” kuralları “Bilgi Sınıflandırma, Etiketleme ve İşleme Prosedürü” içerisinde detaylandırılmıştır.
  • Her tür sistemde, uygulamada ve fiziksel ortamlarda bulunan verinin gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanması için erişim yetkilendirme yapılmalıdır. Tüm sistem, uygulama ve fiziksel ortamlara yönelik erişim yetkilendirme kural ve süreçleri “Güvenli Alanlar Prosedürü” ve “Erişim Yönetimi Prosedürü” içerisinde detaylandırılmıştır.
  • Saklama ortamlarının fiziksel güvenliğinin sağlanmasına yönelik gerekli tedbirler “Güvenli Alanlar Prosedürü”nde detaylandırılmıştır.
  • Özel nitelikli kişisel verilerin korunasına ilişkin hususlar “Özel Nitelikli Kişisel Verilerin Korunması Politikası” dokümanında detaylandırılmıştır.
  • Elektronik dokümanlar, ilgili bölümlerin sorumluluğunda hemen ulaşılabilecek şekilde düzenli bir klasör yapısı içerisinde tutulmalıdır. Klasörlere, çalışanların “bilmesi gerektiği kadar prensibi” ile erişim yetkilendirme yapılmalıdır ve dosyalara erişim kontrol altında tutulmalıdır. 
  • Basılı dokümanlar sınıflarına göre uygun güvenli alanlarda muhafaza edilmelidir. Düşük güvenlik seviyeli dokümanlar açık dolaplar, yüksek güvenlik seviyeli dokümanlar kilitli dolap ya da çelik kasalar kullanılabilir.
  • Elektronik ortamda bulunan tüm verilerin yedekleme işlemleri “Yedekleme Politikası” gereğince yürütülür.

5.1.1. Saklama Ortamları 

Kurumsal bilgiler ve kişisel verilerin bulunduğu ortamlar aşağıda bulunan ortamlar üzerinde kayıt altına alınmaktadır.  

  • Sunucular (domain, back-up, e-posta, veritabanı, web, file server vb)
  • Kurumsal Uygulama Veritabanları
  • Yazılımlar
  • Bilgi Güvenliği Cihazları (firewall, IDS/IPS, log dosyaları, antivirus)
  • Bulut Çözümleri
  • Bilgisayarlar (masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb)
  • Optik disk ortamlar (CD, DVD vb)
  • Taşınabilir bellek (USB, flash disk, hard disk, SSD vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi,  
  • Kağıt ortam (basılı dokümanlar; anket formları, ziyaretçi defteri vb)
  • Görsel ortamlar

 

5.1.2. Saklama Süreleri

Kişisel verilerin saklama süreleri, kullanım amacına göre değişiklik göstermektedir. Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

  • Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
  • Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
  • Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.

 

5.1.3. Saklamayı Gerektiren Hukuki Sebepler

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler aşağıdaki kanun, yönetmelik ve ilgili yasal mevzuat çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır: 

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 4734 sayılı Kamu İhale Kanunu,
  • 657 sayılı Devlet Memurları Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 5018 sayılı Kamu Mali Yönetimi Kanunu,
  • 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 2547 sayılı Yükseköğretim Kanunu,
  • 5434 sayılı Emekli Sağlığı Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • Arşiv Hizmetleri Hakkında Yönetmelik
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

5.1.4. Saklamayı Gerektiren İmha Sebepleri

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

Bilgi Güvenliği Süreçlerinin Yürütülmesi, Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi, Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi, Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi, Denetim / Etik Faaliyetlerinin Yürütülmesi, Eğitim Faaliyetlerinin Yürütülmesi, Erişim Yetkilerinin Yürütülmesi, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Finans Ve Muhasebe İşlerinin Yürütülmesi, Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini, Görevlendirme Süreçlerinin Yürütülmesi, Hukuk İşlerinin Takibi Ve Yürütülmesi, İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Faaliyetlerinin Yürütülmesi / Denetimi, İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi, İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi, İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi, Lojistik Faaliyetlerinin Yürütülmesi, Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi, Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi, Mal / Hizmet Satış Süreçlerinin Yürütülmesi, Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi, Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi, Organizasyon Ve Etkinlik Yönetimi, Pazarlama Analiz Çalışmalarının Yürütülmesi, Performans Değerlendirme Süreçlerinin Yürütülmesi, Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi, Risk Yönetimi Süreçlerinin Yürütülmesi, Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi, Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi, Sponsorluk Faaliyetlerinin Yürütülmesi, Stratejik Planlama Faaliyetlerinin Yürütülmesi, Talep / Şikayetlerin Takibi, Taşınır Mal Ve Kaynakların Güvenliğinin Temini, Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi, Ücret Politikasının Yürütülmesi, Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini, Yabancı Personel Çalışma Ve Oturma İzni İşlemleri, Yatırım Süreçlerinin Yürütülmesi, Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,

Yönetim Faaliyetlerinin Yürütülmesi, Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi Acil Durum Yönetimi Süreçlerinin Yürütülmesi

5.2.  Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, 

durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin imha edilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmesi zorunludur. Saklama ortamları yeterli özen gösterilmeden ve güvenlik tedbirleri alınmadan imha edildiğinde, kişisel verilerin başka şirket veya kişilerin eline geçme durumu söz konusu olabilir. 

Dolayısıyla imha aşamasında ve daha sonrasında bu riski en aza indirmek için;

  • Bilgi ve veri taşıyan cihaz ya da ortamların güvenli bir şekilde imhası için ilgili kanun ve yönetmelikler de göz önünde bulundurularak gerekli süreç[1] ve yöntemler “İmha Prosedürü” dokümanında detaylandırılmıştır.
  • Şirket verileri ve kişisel veriler içeren saklama ortamları güvenli ve tehlike içermeyecek bir şekilde bu prosedüre göre imha edilmelidir.
  • İmha edilen tüm ortamların imha edildiğine dair kayıt tutulmalı ve 3 sene[2] boyunca saklanmalıdır.
  • İmha edilecek veriler Bilgi Güvenliği ve Kişisel Veri sınıfına  ve saklama ortamının tipine uygun olan yöntemler ile imha edilmelidir.
  • İmha işleminin Şirket dışında başka bir tedarikçi firma tarafından gerçekleştirilmesi durumunda, tedarikçi firma seçiminde teknik yeterlilik ve tecrübe göz önünde bulundurulmalıdır.
  • Her türlü kişisel veri taşıyan cihaz ya da ortamların güvenli bir şekilde elden çıkarılabilmesi, imhası ve farklı uygulamalar için kullanımını sağlayacak hassas bilgi temizleme işlemleri için gerekli süreç ve yöntemler belirlenmeli ve belgelenmelidir. İşlemlerin bu yöntemlere uyularak yapıldığı kontrol edilmelidir.  
  • Her türlü kişisel veri içeren basılı doküman imha edilirken kağıt kırpma makinesi veya yakma yöntemi tercih edilmelidir.
  • Sabit disklerin ve disketlerin formatlanması, disk çeşidine göre (mekanik sabit diskler, harici katı kal diskler ve diğer çıkarılabilir medya), bilgilerin güvenli olarak temizlenmesi için yeterli değildir. Bu bakımdan tekrar kullanılacak disklerde hard format atılması ya da n-kez üzerine yazılması prensibi ile temizleme yapılmalıdır.
  • Her türlü kişisel veri içeren doküman kullanım ömrü dolduğu zaman güvenli bir şekilde imha edilmelidir.
  • Güvenli olarak tekrar kullanılır hale getirme ya da imha işlemleri tecrübeli personel ve tedarikçi firmalar tarafından yapılmalıdır.
  • Yapılan tüm işlemler detaylı olarak kayıt altına alınmalıdır. Cihaz ya da depolama ortamını belirleyici bilgiler (tip, satıcı, model, seri numarası gibi), yapılan işlemin ne amaçla yapıldığı ve kullanılacaksa işlem sonunda cihazın ya da depolama ortamının ne amaçla kullanılacağı, yapılan temizlik işleminin detaylı açıklaması (yapılan işlemler, kullanılan cihaz ve yazılımlar, vs.) ve işlemi yapan kişilerin bilgileri bu kayıtlarda yer almalıdır.  

 

5.2.1. İmha Yöntemleri

Veriler, muhafaza edildikleri saklama ve kayıt ortamlarına ve gizlilik seviyelerine göre uygun yöntemler belirlenerek imha edilmelidir. İmha işlemi gerçekleştirilirken kullanılan yöntemler; • Silme

  • Yok Etme
  • Anonimleştirme  olarak belirlenmiştir.

Silme: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 

Yok Etme: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Anonimleştirme: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Bu yöntemlerden herhangi biri kullanılırken uygulanacak belli başlı imha teknikleri bulunmaktadır. Güvenli bir imha gerçekleştirebilmek için; verinin bilgi güvenliği sınıfına, kişisel veri sınıfına ve bulunduğu ortamın türüne uygun olan teknikler kullanılmalıdır.

Aşağıdaki tabloda, hangi ortam için hangi imha tekniğinin kullanılabileceği açıklanmıştır:

 

Tablo. 1: İmha Yöntemleri

ORTAM

SİLME

YOK ETME

ANONİMLEŞTİRME

Sunucular

  • Delete / Silme Komutu ile dosya silinir.
  • Sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkileri kaldırılır.

Sunucu içerisinde kullanılan diskler için;

  1. De-manyetize etme

(Degauss)

  1. Fiziksel Yok Etme
  2. Üzerine Yazma

Uygulanmaz

Kurumsal Uygulama Veri tabanları

  • Veri tabanına göre uygun “DELETE” komutu ile kayıtlar silinir.
  • Veri tabanı yöneticisi hariç tüm kullanıcıların erişim yetkileri kaldırılır.

Veri tabanı sunucusu içerisinde kullanılan diskler için;

  1. De-manyetize etme

(Degauss)

  1. Fiziksel Yok Etme
  2. Üzerine Yazma

Anonimleştirme yöntemlerinden;

  1. Değişkenleri Çıkartma
  2. Kayıtları Çıkartma
  3. Alt ve Üst Sınır Kodlama
  4. Bölgesel Gizleme
  5. Örnekleme

Yazılımlar

  • Uygulamaya göre uygun “DELETE” komutu ile kayıtlar silinir.
  • Uygulama yöneticisi tarafından tüm kullanıcıların erişim yetkileri kaldırılır.

Uygulama sunucusu

içerisinde kullanılan diskler için;

  1. De-manyetize etme

(Degauss)

  1. Fiziksel Yok Etme
  2. Üzerine Yazma

Anonimleştirme yöntemlerinden;

  1. Değişkenleri Çıkartma
  2. Kayıtları Çıkartma
  3. Alt ve Üst Sınır Kodlama
  4. Bölgesel Gizleme
  5. Örnekleme

Bilgi Güvenliği Cihazları

“Delete/Sil” komutu kullanılabildiği durumlarda içerisindeki bilgiler silinir.

Silme yapılamadığı durumlarda;

  1. De-manyetize Etme

(Degauss)

  1. Fiziksel Yok Etme
  2. Üzerine Yazma

Uygulanmaz

Bulut

Çözümleri

  • Delete / Silme Komutu ile dosya silinir.
  • Sistem yöneticisi tarafından tüm

Hizmet alınan firmadan kişisel veri içeren alanların yok edilmesi istenir.

Uygulanmaz

 

kullanıcıların erişim yetkileri kaldırılır.

 

 

Bilgisayarlar

Fabrika ayarlarına geri döndürme yapılır, tüm bellek ve hafıza kartları uygun yazılımlar kullanılarak silinir.

Bilgisayarlar için;

  1. Fiziksel Yok Etme
  2. Üzerine Yazma

Uygulanmaz

Mobil

Telefonlar

(SIM Kart ve

Hafıza Alanları)

Fabrika ayarlarına geri döndürme yapılır, tüm bellek ve hafıza kartları uygun yazılımlar kullanılarak silinir.

Telefon bellek ve hafıza kartları için;

  1. Fiziksel Yok Etme
  2. Üzerine Yazma

Uygulanmaz

Optik Disk Ortamlar

(CD, DVD, Blu-

Ray)

Uygun yazılımlar kullanılarak silinir.
  1. Fiziksel Yok Etme
  2. Üzerine Yazma

(Rewritable Diskler için)

Uygulanmaz

Taşınabilir Bellek

Uygun yazılımlar kullanılarak silinir.
  1. De-manyetize etme

(Degauss)

  1. Fiziksel Yok Etme
  2. Üzerine Yazma

Uygulanmaz

Kağıt Ortam

Doküman üzerinde

“Karartma” uygulanır.

Kağıt Öğütücü cihazlar kullanılır.

Uygulanmaz

5.2.2. İmha Metodolojisi

İmha sürecine ilişkin detaylar, İmha Prosedürü içerisinde detaylandırılmıştır.  İmha aşamasına gelen veriler, kişisel veri envanteri içerisindeki saklama süreleri baz alınarak takip edilir.

6 aylık periyotlar halinde imha gerçekleştirilir.

İlgili kişiler tarafından gelen imha talepleri, Talep Yönetimi kapsamında gerekli araştırmalar yapıldıktan sonra İmha Yönetimi prosedürüne göre imha edilir.

  1. KAYITLAR VE EKLER

“Kişisel Veri Envateri/Saklama Süreleri”

  1. DAĞITIM

Tüm şirket çalışanları ve şirket internet sitesi

 

8. Doküman tarihçesi

Versiyon

Revizyon Tarihi

Değişiklik Nedeni

Hazırlayan/Güncelleyen

Onaylayan

V.0

10.5.2021

-

KVKK Komitesi

Yönetim Kurulu