Kişisel Verileri Saklama ve İmha Politikası
TEST EDUCATION CENTRE LIMITED (SIRKET NO: 13444358) KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİNE İLİŞKİN İMHAPOLİTİKASI
1. İMHA POLİTİKASININ AMACI
Bu İmha Politikası’nın (Politika olarak anılacaktır.) tanzim gayesi; Birlesik Krallik Kişisel Verilerin Korunması Kanununa, Data Protection Act 2018, (Kanun) uygun olarak işlenmiş olan kişisel verilerin yine Kanun’un tum maddelerinde yer alan kişisel verilerin işlenme şartlarının ortadan kalkması halinde, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (Yönetmelik) uyarınca kişisel verilerin Test Education Centre Limited. (Sirket no: 13444358) (“TEC” olarak anılacaktır.) tarafından re’sen veya veri sahibinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi usullerinin detaylıca izah edilmesidir.
2. TANIMLAR
Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişiler.
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim
Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan : Şirketimize akdi olarak bağlı çalışan gerçek kişiler.
Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan
Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı : Şirketimiz ile akdi ilişki çerçevesinde Şirketimize hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun : DATA PROTECTION ACT 2018 Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri
İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin
İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul : Kişisel Verileri Koruma Kurulu
Özel Nitelikli
Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika : Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları
Sicil Bilgi Sistemi : YOK
Yönetmelik : 2018, DATA PROTECTION ACT çerçevesinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
3. KAYIT ORTAMLARI
Kişisel veriler aşağıda tabloda gösterilen kayıt ortamlarında hukuka uygun olarak tüm gerekli önlemler alınarak güvenli bir biçimde saklanmaktadır :
ELEKTRONİK ORTAMLAR FİZİKSEL ORTAMLAR
– Yazılımlar (Ofis yazılımları)
– VERBİS
– E-posta kutuları
– Sunucular
– Bilgi Güvenliği Cihazları (güvenlik duvarı, anti-virüs ve benzeri programlar)
– Şirket Bilgisayarları
– Şirket Mobil Cihazlar
– Taşınabilir Bellekler
– Optik Taşınabilir Diskler
– Yazıcı, Tarayıcı ve Fotokopi Makinesi – Kağıt
– Fiziki Saklama Gereçleri
– Manuel Veri Kayıt Sistemi
– Yazılı ve Basılı Yayınlar
4. SAKLAMA VE İMHAYA YÖNELİK AÇIKLAMALAR
TEC tarafından çalışanlar, çalışan adayları, hizmet sağlayıcılar, hizmet alıcılar, ziyaretçiler, danışanlar ve akdi olarak ilişkide bulunulan üçüncü kişilerin, kurumların gerek çalışanlarına gerek doğrudan şahısları veya ticari faaliyetlerine yönelik edinilen kişisel veriler Kanun’a uygun olarak belirtilen sürelerle sınırlı olarak saklanır ve Kanun’a uygun olarak imha edilir.
4.1. Saklamayı Gerektiren Hukuki Sebepler : TEC’e veri sahipleri tarafından açıklanan kişisel veriler aşağıdaki sebeplerle saklanır ;
Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması,
Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, saklanmasının meşru menfaat dahilinde olması,
Kişisel verilerin herhangi bir hukuki yükümlülüğün yerine getirilmesi için zorunlu olması,
Kişisel verinin ilgilisi tarafından alenileştirilmiş olması
Kanunda saklamanın açıkça öngörülmesi,
Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
4.2. İmhayı Gerektiren Hukuki Sebepler :Kanun, Yönetmelik ve Kurul kararları uyarınca, aşağıda belirtilen hallerde veri sahiplerine ait kişisel veriler, re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya mülga hale gelmesi,
Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Gerçek kişinin kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kanun’un on birinci maddesi gereği Kurul tarafından kabul edilmesi veya Kurul’un başka bir hukuki sebebe dayanak gerçek kişinin imha başvurusunu kabul etmesi
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir nedenin mevcut olmaması.
5. KİŞİSEL VERİLERİN MUHAFAZASI İÇİN ALINAN ÖNLEMLER
TEC tarafından kişisel verilerin hukuka uygun olarak muhafaza edilmesi için Kanun 12’inci maddesi ve 6’ıncı maddenin 4’üncü fıkrası gereği kişisel veriler için Kurul tarafından belirlenen yeterli önlemler, teknik ve idari tedbirler alınır. Bu tedbirler Politikada düzenlenir ve eğer ki tüm tedbirlere rağmen herhangi kanuni olmayan yollar ile verilerin ele geçirilmesi söz konusu olur ile ilgili birim ve Kurul’a ivedilikle bilgi verilir.
5.1. Teknik Tedbirler:
Teknolojik altyapılara uygun olarak gerek depolama gerek imha gerekse de bilgi sızıntısına yönelik uygun teknik önlemler alınmakta bu önlemler periyodik olarak güncellenmekte ve ihtiyaca göre yenilenmektedir.
Teknik konularda destek alınması amacı ile personel istihdam edilmekte ve teknik güncellemelere paralellik sağlamak adına eğitim alınması temin edilmektedir.
Zararlı yazılımların kişisel verilerin mahremiyetine ve kanundan doğan yükümlülüklerin ihlaline neden olmaması adına gerekli korumaya dair yazılımlar temin edilmekte ve düzenli aralıklarla güncellikleri ve güvenilirlikleri test edilmektedir.
TEC çalışanlarının “en fazla ihtiyaç olan” ilkesi kapsamında kişisel verilere erişimi sınırlandırılmaktadır.
TEC güvenlik sistemleri düzenli olarak test edilmektedir.
Kişisel verilerin imhası hiçbir teknolojik araç ile geri dönülmeyecek bir biçimde gerçekleştirilmektedir.
5.2 İdari Tedbirler:
Kişisel veri işleme envanteri hazırlanmıştır.
TEC tarafından çalışanlara gizlilik sözleşmesi imzalatılmaktadır.
TEC tarafından kişisel veri işlenmeden önce ilgili kişilere aydınlatma yükümlülüğü yerine getirilmektedir.
Özel nitelikte kişisel verilerin TEC tarafından işlenmesinden evvel ilgili kişilerin açık rızasının varlığı talep edilip, kontrol edilmektedir.
TEC’in faaliyetleri devam ederken gerek periyodik olarak gerekse de plansız ve ani denetimler gerçekleştirilmektedir.
TEC tarafından çalışanlarına Kanun dahilinde hizmet içi eğitim verilmektedir.
Kanun kapsamında TEC tarafından benimsenen ilkeleri politikaları gerek basılı yayın yoluyla gerek elektronik yollarla hizmet alıcı, sağlayıcı ve üçüncü kişiler ile personellerine ilan etmektedir.
6. KİŞİSEL VERİLERİN YOK EDİLMESİNE DAİR ALINAN ÖNLEMLER
Mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, TEC tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
TEC kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda tablolarda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
6.1. Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı Açıklama
Sunucularda ve Elektronik Ortamda
Yer Alan Kişisel Veriler Öngörülen sürenin dolması veya başka bir hukuki sebebin gerçekleşmesi ile erişim yetkisi olanların yetkili
kaldırılarak silme işlemi gerçekleştirilir
Taşınabilir Medyada Bulunan Kişisel Veriler Öngörülen sürenin dolması veya başka bir hukuki
sebebin gerçekleşmesi ile şifrelenerek güvenli ortamlarda saklanır.
Fiziksel Ortamda Yer Alan Kişisel Veriler Öngörülen sürenin dolması veya başka bir hukuki sebebin gerçekleşmesi ile arşivden sorumlu birim hariç diğer herkes için hiçbir şekilde erişilemez ve kullanılamaz hale getirilir ve ayrıca gerektiği yerlerde üzeri okunamayacak biçimde çizme, boyama ve karartma
uygulanır.
6.2. Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler Öngörülen sürenin dolması veya başka bir hukuki sebebin gerçekleşmesi ile kağıt kırpma makineleri ve diğer suretlerle geri dönüştürülemeyecek biçimde yok
edilir.
Optik/Manyetik Medyada Bulunan Kişisel Veriler Öngörülen sürenin dolması ve başka bir hukuki sebebin gerçekleşmesi ile eritilmek, yakılma ve diğer suretlerle geri dönülemeyecek biçimde veya yüksek manyetik alana
maruz bırakılarak geri dönülemez biçimde imha edilir.
6.3. Kişisel Verileri Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, bu verilerin başka verilerle eşleştirilse dahi hiçbir şekilde kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. TEC gereken durumlarda verilerin üçüncü kişiler tarafından geri döndürülmesi, verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirir.
7. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
| SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
| Şirket iç işlemleri | İç işlemin tesisinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha
süresinde |
| Sözleşmeler | Sözleşmenin sona ermesini takip eden 10 yıl | Saklama süresinin bitimini
takip eden ilk periyodik imha süresinde |
| İnsan kaynakları,
çalışanlara ilişkin bilgiler |
Faaliyetin ve sözleşmenin sona ermesini takip eden 10 yıl | Saklama süresinin bitimini
takip eden ilk periyodik imha süresinde |
| Şirket iletişim faaliyetleri | Faaliyetin ve akdi ilişkinin sona ermesini takip eden 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha
süresinde |
| Log Kayıtlamaları | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha
süresinde |
Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler tabloda yer alan kişisel verilerin tutulması için azami süre boyunca saklanacak ve sürenin sonunda denk gelen ilk periyodik imha süresinde imha edilecektir.
8. ŞİRKET PERİYODİK İMHA SÜRELERİ
TEC’ın periyodik imha süresi 24 aydır. Saklama süresi dolan kişisel veriler, işbu Politika’da yer alan imha süreleri çerçevesinde, 24 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir.
9. POLİTİKANIN YAYIMI VE MUHAFAZASI
Politika basılı kağıt ve elektronik ortamda olmak üzere iki ortamda yayımlanır. TEC internet sayfasında kamuya açıklanır ve her ilgili resmi e-posta adresi üzerinden politikanın kendisine gönderilmesini talep edebilir.
10. POLİTİKANIN GÜNCELLENMESİ
Politika ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenerek ilan edilir.
11. YÜRÜRLÜK
Bu Politika 08.06.2021 tarihinde yürürlüğe girer ve ilan olunur.