KURUMSAL
FİZİBİL EĞİTİM YÖNETİM DANIŞMANLIK ŞİRKETİ KİŞİSEL VERİLERİN SAKLAMASI VE İMHASI POLİTİKASI
Kişisel Veri Saklama ve İmha Politikasıİşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerini yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla, veri sorumlusu sıfatıyla Fizibil Eğitim Yönetim Danışmanlık Şirketi (“FİZİBİLEĞİTİM”) tarafından hazırlanmıştır.
Tanımlar
· Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
· İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
· İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
· İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
· Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
· Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
· Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
· Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
· Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kişiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
· Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
· Kurul: Kanun kapsamında tanımlanmış olan Kişisel Verileri Koruma Kurulu.
· Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
İlkeler:
· FİZİBİLEĞİTİM tarafından kişisel verilerin saklanması, silinmesi, imha edilmesi ve anonim hale getirilmesinde aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
· Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
· Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler FİZİBİLEĞİTİM tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer kanun/mevzuat uyarınca daha uzun süreler ile saklanması gerekmedikçe en az 3 (üç) yıl süreyle saklanmaktadır.
· Kurul tarafından aksine bir karar alınmadıkça, kişisel veriler belirlenen saklama sürelerinin sonunda FİZİBİLEĞİTİM tarafından imha edilecektir.
· Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler FİZİBİLEĞİTİM tarafından imha edilecektir.
İlgili Kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi hususlarında FİZİBİLEĞİTİM’ den talepte bulunulması halinde, iletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır. Talebe konu verilerin FİZİBİLEĞİTİM Kişisel Verilerin Korunması ve İşlenmesi Politikasına uygun olarak üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar Veri sahiplerine ait kişisel veriler, FİZİBİLEĞİTİM tarafından özellikle;
- Ticari faaliyetlerin sürdürülebilmesi,
- Hukuki yükümlülüklerin yerine getirilebilmesi,
- Çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmakta olup Kişisel Verilerin saklanmasının sebepleri aşağıda belirtilmektedir.
• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla FİZİBİLEĞİTİM’ in meşru menfaatleri için saklanmasının zorunlu olması,
• Kişisel verilerin FİZİBİLEĞİTİM’ in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, FİZİBİLEĞİTİM tarafından imha edilir.
• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde ilgili kişinin rızasını geri alması,
• İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Saklama ve İmha Süreleri
FİZİBİLEĞİTİM tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespiti hususunda mevzuatta bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta bir süre öngörülmüş ise anılan sürenin sona ermesi akabinde veya mevzuatta herhangi bir süre öngörülmemiş olması durumunda Kişisel Veriler FİZİBİLEĞİTİM’ in o veriyi işlerken yürütülen faaliyeti ile bağlı olarak FİZİBİLEĞİTİM’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre sonunda veri hakkında aşağıdaki maddeler kapsamında işlem yapılır.
1. Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama esas alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının FİZİBİLEĞİTİM nezdindeki önem derecesine göre belirlenir.
2. Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu, verinin saklanmasında FİZİBİLEĞİTİM’ın meşru bir amacının olup olmadığı gibi hususlar sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen kişisel veriler imha edilir.
3. Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi veya hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler imha edilir.
FİZİBİLEĞİTİM tarafından belirlenen saklama süreleri dolan kişisel veriler 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. Kişisel verilerin imha edilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kisisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler FİZİBİLEĞİTİM’in eğitim veya iş sözleşmesinden doğan yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edebilmeniz veya bunlarla ilgili FİZİBİLEĞİTİM tarafından ticari, mali, hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, FİZİBİLEĞİTİM’in güvenliğinin sağlanması veya FİZİBİLEĞİTİM’in meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler veri depolama sistemine işlenmektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm veriler FİZİBİLEĞİTİM sunucularına kaydedilmektedir.
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmemesi, yetkisiz erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, FİZİBİLEĞİTİM tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:
İdari Tedbirler:
FİZİBİLEĞİTİM, idari tedbirler kapsamında;
• Saklanan kişisel verilere FİZİBİLEĞİTİM içi erişim, iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin sözleşme imzalar yahut mevcut sözleşmesine veri güvenliğinin sağlamasına yönelik hükümler ekler.
• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
• Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.
Teknik Tedbirler
FİZİBİLEĞİTİM, teknik tedbirler kapsamında;
• FİZİBİLEĞİTİM Bilgi Güvenliği Yönergesi kapsamında politika ve kurallara uyar.
• ISO 27001 Bilgi Güvenliği Yönetim Sistemi ile bilgilerin güvenliğine ilişkin periyodik kontrolleri sağlar.
• Çalışanlarına eğitimler vererek bilgi güvenliğinin şirket kültürü olarak benimsenmesini sağlar.
• Bilgi güvenliği ile ilgili risk ve fırsatları yönetir ve riskleri azaltıcı önlemler alır.
• Merkezi kimlik doğrulama, ağ erişim kontrolü, anti-virüs, port kontrolü ve diğer güvenlik kontrollerini uygular.
• Görevi, unvanı veya iş tanımı değişen kullanıcıların erişim haklarını yeniden düzenler. Ayrılan çalışanın erişim haklarını derhal kaldırır veya bloke eder.
• Ağ güvenliği ile uygulama güvenliğini sağlar.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemlerini alır.
• Sistemi zararlı yazılım tehditlerine karşı korumak üzere zararlı yazılım önleme programı kullanır ve merkezi olarak yönetir.
• Farklı güvenlik seviyesindeki ağlar birbirine bağlanırken güvenlik gerekliliklerine uygun güvenlik duvarı kullanır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliğini sağlar.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibini yapar.
• Saldırı tespit ve önleme sistemleri kullanılır.
• Sızma testi uygulanır.
Kisisel Veri Komitesinin Görev ve Yetkileri
FİZİBİLEĞİTİM ’in ilgili birimlerinin üst yöneticilerinden oluşan Kişisel Veri Komitesi, Politika’ nın ilgili iş birimlerine duyurulmasından, gereklerinin yerine getirilmesinin takibinden ve bu süreçte yapılması gereken tüm iş ve işlemlerden sorumludur. Kişisel Veri Komitesine asistan@fizibilegitim e-posta adresinden ulaşabilirsiniz.
Politikanın Yürürlüğü, İhlal Durumları ve Yaptırımlar
Politika tüm FİZİBİLEĞİTİM çalışanlarına duyurularak yürürlüğe girecek ve yürürlüğü itibariyle FİZİBİLEĞİTİM ve tüm yetkililer için bağlayıcı olacaktır. Politikaya aykırı davranan çalışanlar hakkında, FİZİBİLEĞİTİM tarafından iç düzenlemeler uyarınca disiplin işlemi uygulanacaktır.
EK-1 Personel Unvan, Birim ve Görev Listesi
FİZİBİLEĞİTİM’de kişisel verileri işlemeye yetkili çalışan, çalışanın unvanı, birimi ve görevini içeren liste FİZİBİLEĞİTİM nezdinde gizli olarak tutulmaktadır.
