2709 sayılı Türkiye Cumhuriyeti Anayasası'nın 20/3. maddesinde "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir." hükmünü taşımaktadır.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. olarak elde ettiğimiz kişisel veriler, Şirketin faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Şirketimiz Kişisel verileri, ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak, böyle bir sürenin bulunmaması halinde ise işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda Kişisel veri envanterinde ve bu Politikada belirtilen periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Bu konuda şirket personeline Türk Ceza Kanunu m.138* ile ilgili olarak bilgilendirme ve farkındalık eğitimleri yapılmaktadır.
*( Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.)
Kişisel verilerin ilgili mevzuatlar uyarınca, daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller istisna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Şirket tarafından re’sen yahut veri sahibi başvuru formu aracılığıyla ve kullanılabilecek farklı teknikler ile veri sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonimleştirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.
Söz konusu faaliyetler kapsamında, Şirket tarafından kişisel verilerin korunmasına ilişkin olarak başta Kanun olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, bu Politikada belirtilen yöntemlerle silinecek, yok edilecek yahut anonim hale getirilecektir. Silme, yok etme veya anonim hale getirme ile ilgili işlemler sonucunda tutulacak tutanakların da 3 (üç) yıl boyunca saklanması sağlanmaktadır.
Şirketimiz tarafından güvenliğin sağlanması ve bu Politika ‘da belirtilen amaçlarla; Bina ve Tesislerimiz içerisinde kaldığınız süre boyunca talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
Kişisel veriler, DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo : Kişisel veri saklama ortamları
| Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
|---|---|
|
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web,
dosya paylaşım, vb.) • Yazılımlar (ofis yazılımları,CRM, ERP, vb.) • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) • Kişisel bilgisayarlar (Masaüstü, dizüstü) • Mobil cihazlar (telefon, tablet vb.) • Optik diskler (CD, DVD vb.) • Çıkartılabilir bellekler (USB, Hafıza Kart vb.) • Yazıcı, tarayıcı, fotokopi makinesi |
• Kağıt • Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) • Yazılı, basılı, görsel ortamlar |
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından; çalışanlar, çalışan adayları, ziyaretçiler,müşteriler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.aşağıdaki taboda konuyla ilgili açıklama ve örnekleme yapılmıştır.
Tablo: Kişisel verilerin işlenme şartları
| İşleme Şartları | Kapsam | Örnek |
|---|---|---|
| Kanun Hükmü |
Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb. İş sağlığı ve güvenliği Kanunu |
Çalışana ait özlük/ bilgilerinin, iş güvenliği kayıtlarının kanun gereği tutulması |
| Sözleşmenin İfası |
İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser Sözleşmesi vb. |
Teslimat yapılması için şirketin adres bilgilerinin kaydedilmesi. |
| Fiili İmkânsızlık |
Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi. |
Bilinci kapalı kişinin kişisel sağlık bilgisi. Kaçırılan ya da kayıp kişinin konum bilgisi. |
|
Veri Sorumlusunun Hukuki Sorumluluğu |
Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı Kurallarla Uyum. |
Bankacılık, enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması. |
| Aleniyet Kazandırma |
İlgili kişinin kendisine ait bilgileri kamunun bilgisine sunması. |
Evini satmak isteyen kişinin, satış ilanında iletişim bilgisine yer vermesi |
|
Hakkın Tesisi, Korunması, Kullanılması |
Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler. |
İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması. |
| Meşru Menfaat |
İlgili kişinin temel haklarına zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenmesi |
Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi. |
Buna göre, Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır ve saklanma süreleri Kişisel veri işleme envanterinde belirtilir.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. de, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 4734 sayılı Kamu İhale Kanunu
• 657 sayılı Devlet Memurları Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
• 5018 sayılı Kamu Mali Yönetimi Kanunu,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 sayılı İş Kanunu,
• 2547 sayılı Yükseköğretim Kanunu,
• 5434 sayılı Emekli Sağlığı Kanunu
• 2828 sayılı Sosyal Hizmetler Kanunu
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Arşiv Hizmetleri Hakkında Yönetmelik
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
• İnsan kaynakları süreçlerini yürütmek.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. Kurumsal iletişimini sağlamak.
• Şirket güvenliğini sağlamak,
• İstatistiksel çalışmalar yapabilmek.
• Satış ve pazarlama faaliyetlerini yürütmek
• Reklam faaliyetlerini yürütmek
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
• Yasal raporlamalar yapmak.
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek.
Kişisel veriler;
• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kaldırılması,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından kabul edilmesi,
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. nin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. aşağıda belirtilen hususlarda veri güvenliği konusunda başta Kanun olmak üzere diğer mevzuat ve Kurum tarafından yayımlanan rehberlerde belirtilen teknik ve idari tedbirleri almakta, bu konuda en üst düzeyde dikkat ve özeni göstermektedir. Şirket tarafından Kanununun 12inci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir..
Teknik Tedbirler
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
• Sızma (Penetrasyon) testleri ile DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. içerisinde erişim prosedürleri/politikaları oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmektedir.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
• Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik” formattında gönderilmektedir.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
• Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, Kanun ve ilgili diğer mevzuat hakkında farkındalık eğitimleri verilmektedir.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin süreçleri uygulanmaktadır.
• Kişisel veri işlemeye başlamadan önce DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. içi periyodik ve rastgele denetimler yapılmaktadır.
• Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından re’sen(kendiliğinden) veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir. DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. bünyesinde Kişisel Verileri Koruma Komitesi’ni oluşturmuş, gerekli teknik ve idari tedbirleri almıştır. Zaman içinde bu konuda gerekli güncellemeler ve işleyiş mekanizmaları geliştirilecek olup, bu yükümlüklerine uygun davranmak, kişisel veri kültürünün geliştirilmesi ve farkındalıkların artırılması amacıyla eğitimler yapılmaktadır.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. kişisel verileri faaliyetlerinin yürütülmesi için gerekli olan amaçlar dahilinde ve belirlenen amaçların gerçekleştirilebilmesine elverişli olarak işlemektedir. Bu sebeple Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
Kişisel veriler aşağıda belirtilen yöntemlerle silinir.
| Veri Kayıt Ortamı | Açıklama |
|---|---|
| Sunucularda Yer Alan Kişisel Veriler |
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre
sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
|
Elektronik Ortamda Yer Alan Kişisel Veriler |
Elektronik ortamda yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren
süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/ silinerek karartma işlemi de uygulanır. |
|
Taşınabilir Medyada Bulunan Kişisel Veriler |
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden
saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Kişisel veriler, DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından Aşağıda verilen yöntemlerle yok edilir.
| Veri Kayıt Ortamı | Açıklama |
|---|---|
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren
süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
|
Optik / Manyetik Medyada Yer Alan Kişisel Veriler |
Optik medya ve manyetik medyada yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, mekanik kırpma, kesme yöntemi uygulanır. |
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Periyodik imha süreleri
Yönetmeliğin 11 inci maddesi gereğince şirketimizde periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre her yıl haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
Saklama ve imha süreleri
Aşağıdaki tabloda belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, KVK komitesi sorumludur. Komite bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir. İmha işleminin yapılması işlemi belgeye (tutanak) bağlanacak ve bu belge de üç yıl süreyle saklanacaktır.
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta belirlenmiştir.
Saklama ve imha süreleri tablosu
| VERİ TÜRÜ | MUHAFAZA SÜRESİ | İMHA SÜRESİ |
|---|---|---|
|
E-postalar ve şirket içi yazışmalar |
10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Sözleşmeler |
Sözleşmenin sona ermesini takip eden 10 yıl boyunca |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Müşteri Kayıtları |
Müşteri ile girilen son etkileşimi takip eden 10 yıl boyunca |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Çalışan Kayıtları | Çalıştıkları süre boyunca |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
İş Sağlığı ve Güvenliği Kayıtları |
İşten ayrılmalarını takip eden 15 yıl boyunca |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Eski Çalışan Kayıtları | İşten ayrılmalarını takip eden 10 yıl boyunca |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
Çalışan Adaylarına İlişkin Kayıtlar |
Çalıştıkları süre boyunca | Çalışan Adaylarına İlişkin Kayıtlar |
| Muhasebe ve Finans Kayıtları | 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Şirket İçi Şikayetler ve İlgili Belgeler | 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Hukuk Kayıtları | 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Resmi Yazışmalar | Süresiz |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
Gerçek Kişi Acente Kişisel Verileri |
İş ilişkisinin sona erme tarihinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Vergi Kayıtları | 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
Potansiyel müşteri kişisel verileri |
Müşteri ile girilen son etkileşimi takip eden 10 yıl boyunca |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Kamera Kayıtları | 1 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
Sergiler, fuarlarda alınan kişisel veriler |
10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Log kayıt takip sistemleri | 1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Erişim Güvenliği Kayıtları | 1 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
Tedarikçi – Tedarikçi Çalışanı Kişisel Verileri |
İş ilişkisinin sona erme tarihinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
|
(Silme, yok etme veya anonim hale getirme ile ilgili işlemler sonucunda tutulacak tutanaklar |
3 yıl boyunca |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır.
Şirket Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından bina ve tesislerinde fiziki ve ticari güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir. Şirket, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır. Şirket tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin kişisel veri sahibi aydınlatılmaktadır. Ayrıca Şirket, Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Şirket tarafından video kamera ile izleme ve kayıt faaliyeti bu Politika ‘da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler, soyunma odaları) izlemeye tabi tutulmamaktadır.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
Şirket Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir, Ziyaretçi, Tedarikçi yetkilisi ve Tedarikçi Çalışanı Giriş Çıkışlarının Takibi
Şirket tarafından, güvenliğin sağlanması ve bu Politika ‘da belirtilen amaçlarla, Şirket binalarında ve tesislerinde çalışanlar dışında giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Şirket binalarına gelen kişilerin isim ve soyadları ve hangi amaçla şirkete geldikleri bilgileri elde edilirken ya da Şirket girişlerine asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
Şirketimiz tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durum öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilir. Veri ihlali bildirimi söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa şirket web sitesi üzerinden yayınlanarak bildirim yapılır.
Bu bildirim asgari olarak;
• İhlalinin ne zaman gerçekleştiği,
• Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
• Kişisel veri ihlalinin olası sonuçları,
• Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
• İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yollarını kapsar.
• Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurula açıklanır.
• Kurula yapılacak bildirimde “Kişisel Veri İhlal Bildirim Form”u (EK-5) kullanılır,
• Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanır,
• Veri ihlallerine ilişkin bilgiler, etkileri ve alınan önlemler kayıt altına alınarak Kurulun incelemesine hazır halde bulundurulur,
• Şirket içinde veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenler bu konuda herhangi bir gecikmeye yer vermeksizin derhal veri sorumlusuna bildirimde bulunmalıdır.
• Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, aynı esaslar çerçevesinde Kurula bildirimde bulunulur,
• Veri ihlali gerçekleşmesi halinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, sorumlulukların belirlendiği “Veri İhlali Müdahale Planı” hazırlanmış olup yönetimin gözden geçirilmesi toplantılarında her yıl bu plan gözden geçirilir.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. bu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt politikaların yanı sıra Şirket içinde temel politikalar/prosedür ve talimatlar oluşturabilir. Bu iç politikaların esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Şirket’in yürütmekte olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap verilebilirliğin sağlanması hedeflenmiştir.
Şirket bünyesinde bu Politika ve bu Politika ’ya bağlı ve ilişkili diğer politikaları, prosedürleri ve talimat ve yönergeleri yönetmek üzere, Şirket üst yönetimi tarafından KVK Sorumlusu olarak Veri sorumlusu sıfatıyla VERBİS’e kayıtlı şirket yöneticisi görevlendirilmiştir. KVK Sorumlusunun görevleri aşağıda belirtilmektedir
• Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak.
• Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak.
• Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
• Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş ortakları nezdinde farkındalığı arttırmak.
• Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak.
• Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.
• Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak.
• Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
• Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak.
• Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek.
• Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası Kalite Yönetim Biriminde dosyasında saklanır.
Politika, Yönetimin gözden geçirme toplantılarında ve ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. İlgili mevzuat, KVK yayın ve kurul kararları dış kaynaklı döküman listesi vasıtasıyla ve sorumlularınca takip edilir.