Hazırlanan bu Kişisel Veri Saklama ve İmha Politikası (‘‘Politika’’), 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘‘KVKK’’ veya ‘‘Kanun’’) ve Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik (‘‘Yönetmelik’’) uyarınca yükümlülüklerimizi yerine getirmek, kişisel verilerin işlendikleri amaç için gerekli olan azami saklama ve imha sürelerini belirlemek amacıyla hazırlanmıştır.
Şirket bünyesinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir şekilde aşağıdaki kayıt ortamlarında hassas bir şekilde muhafaza edilmektedir.
Elektronik ortamlar;
Fiziki ortamlar;
3. TANIMLAR VE AÇIKLAMALAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme/Anonimleştirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Çalışan | Boğaziçi Yönetim AŞ çalışanları. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollardan işlenen kişisel verilerin bulunduğu her türlü ortamı, |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Kurum | Kişisel Verileri Koruma Kurumu |
KVKK, Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika | Boğaziçi Yönetim AŞ Kişisel Veri Saklama ve İmha Politikası |
Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. |
Şirket | Boğaziçi Yönetim AŞ |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesidir. |
Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
4. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Şirket bünyesinde bulunan kişisel veriler, Şirketimizin hizmetlerinin sunulması, ticari faaliyetlerinin kesintisiz olarak sürdürülmesi, hukuki yükümlülüklerinin yerine getirilmesi, müşteri ilişkilerinin yürütülmesi, çalışan haklarının planlanması ve yerine getirilmesi amacıyla; aşağıda yer alan veri işleme sebepleriyle İşbu Politika’da belirtilen elektronik ya da fiziki ortamlarda güvenli ve hassas bir şekilde saklanmakta ve yine bu sebeplerin ortadan kalkması halinde resen veya ilgili kişinin talebi üzerine imha edilmektedir.
5. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka uygun olarak işlenmesinin sağlanması ve kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi amacıyla aşağıdaki teknik ve idari tedbirleri almaktadır:
6. KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
Kişisel verileri imha etmeye (silmeye, yok etmeye ve anonim hale getirmeye) yönelik Şirket bünyesinde bulunan uygulamalar aşağıdaki gibidir:
Kişisel Verilerin Silinmesi
Kişisel Verilerin Yok Edilmesi
Kişisel Verilerin Anonim Hale Getirilmesi
(Aşağıda, uygulamada kullanılan anonimleştirme yöntemlerine ilişkin tanımlar ve açıklamalar bulunmaktadır. Şirket bünyesinde bu yöntemlerden bir veya birkaçının kullanılması durumunda ilgili yöntemlerin seçilmesi/belirtilmesi gerekmektedir)
Verilerin sahip olduğu değerlerde bir değişiklik ya da ekleme, çıkartma işlemi uygulanmaz, bunun yerine kümede yer alan satır veya sütunların bütününde değişiklikler yapılarak anonimleştirilir. Böylelikle verinin genelinde değişiklik yaşanırken, alanlardaki değerler orijinal hallerini koruması sağlanır.
- Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan anonimleştirme yöntemidir.
- Veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimleştirme kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür.
- Veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmak için belli bir kayda ait değerlerin yarattığı kombinasyon ayırt edilebilir hale gelmesine yüksek ihtimalle sebep olabilecekse değer “bilinmiyor” olarak değiştirilir.
- İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Bu yöntem ile elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.
- Genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanları bir araya toplanır ve bu değerlere yeni bir tanımlama yapılarak elde edilir.
- Alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya nümerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama şeklinde anonimleştirme yöntemidir.
- Bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle kişilere dair isabetli tahmin üretme riski düşürülmüş olur.
Mevcut değerler değiştirilerek veri kümesinin değerlerinde bozulma yaratılarak anonimleştirilir. Veri kümesindeki değerler değişiyor olsa dahi toplam istatistiklerin bozulmaması sağlanarak hala veriden fayda sağlanmaya devam edilebilir.
- Veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.
- Kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının anonimleştirilmesidir.
- Seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılarak anonimleştirilir. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.
Anonim hale getirilmiş veri kümelerinde kayıtlardaki bazı değerlerin tekil senaryolarla bir araya gelmesi sonucunda, kayıtlardaki kişilerin kimliklerinin tespit edilmesi veya kişisel verilerine dair varsayımların türetilebilmesi ihtimali ortaya çıkabilmektedir. Bu sebeple anonim hale getirilmiş veri kümelerinde çeşitli istatistiksel yöntemler kullanılarak veri kümesi içindeki kayıtların tekilliğini minimuma indirerek anonimlik güçlendirilebilmektedir. Bu yöntemlerdeki temel amaç, anonimliğin bozulması riskini en aza indirirken, veri kümesinden sağlanacak faydayı da belli bir seviyede tutabilmektir.
- Belirli alanlarla, birden fazla kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engellemek için geliştirilmiş bir anonimleştirme istatiksel yöntemidir.
- K-Anonimliğin eksikleri üzerinden yürütülen çalışmalar ile oluşmuştur. Bu yöntemde aynı değişken kombinasyonlarına denk gelen hassas değişkenlerin oluşturduğu çeşitlilik dikkate almaktadır. Örneğin kişilere ait ad soyad veya kimlik numarası anonimleştirilerek K-anonimlik uygulanmış olmakla birlikte posta kodu, yaş ve etnik köken bilgisi paylaşılmış olduğundan tespit edilebilme ihtimali bulunmaktadır. Bu bilgileri de maskeleme yöntemi ile anonimleştirerek dış bilgiye sahip kullanıcının tahmin gücünü azaltmıştır.
- L-çeşitlilik yöntemi kişisel verilerde çeşitlilik sağlıyor olmasına rağmen, söz konusu yöntem kişisel verilerin içeriğiyle ve hassasiyet derecesiyle ilgilenmediği için yeterli korumayı sağlayamadığı durumlar oluşmaktadır. Bu haliyle kişisel verilerin, değerlerin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayrılarak anonim hale getirilmesi sürecine T-yakınlık yöntemi denilmektedir.
7. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BIRIMLERI VE GÖREV TANIMLARI
Personel | Birim | Görev tanımı |
Arşiv Sorumlusu | Arşiv | Kişisel verilerin imha edilmesi. |
Avukat | Hukuk | İlgili kişilerin taleplerinin alınması, usulüne uygunluğunun kontrolü ve talebin cevaplanması. |
Bilgi İşlem Personeli | Bilgi İşlem/Bilgi Teknolojileri | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması, periyodik imha sürecinin yönetimi, ilgili kişilerin taleplerinin yanıtlanması için gerekli denetim ve kontrollerin yapılması. |
İdari İşler Personeli | İdari İşler Departmanı | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminin yapılması. |
İnsan Kaynakları Personeli | İnsan Kaynakları Departmanı | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminin yapılması. |
8. SAKLAMA VE İMHA SÜRELERİNE İLİŞKİN TABLO
Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketin belirlediği saklama süresinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri esas alınır. Bu durumda kişisel verilere herhangi bir başka amaçla erişim yapılmamaktadır. Kişisel veriler söz konusu süreler sona erdikten sonra imha edilmektedir.
Saklanan kişisel veriler | Saklama süresi | İmha süresi |
Denetim | Sözleşmesel ilişkinin sona erme tarihinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Boğaziçi Yönetim A.Ş ve Danışmanlık hizmeti verdiği işletmelerin; bilişim alt yapısını oluşturmak güvenli ve kesintisiz internet ve mail hizmeti vermek; Bilgisayarların kurulum ve sağlıklı çalışmalarını temin etmek; Yazılımlardan ve teknolojik aygıtlardan yararlanarak olabildiğince verimli hizmet sunmak; Arızalı cihaz ve ağ birimlerine ilk müdahaleyi yapacak teknik desteği sağlamak; Tüm birimlere gerekli olduğunda bilişim desteği sağlamak | Çalışan işten ayrılana kadar saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Active directory de kullanıcı adı ve soyadı bilgisi tutulur | Personelin iş ilişkisi sona erinceye kadar saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
5651 sayılı yasa gereği internet kullanım logları tutulur | 2 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Birimler tarafından işlenen kişisel verilerin kayıt edildiği file server yedekleri veem backup server da tutulur (ortak local ağ klasörleri) | X | X |
Personel kullanıcı hesabı ve mail hesabı açarken istenilen kişisel veriler file server da tutulur | Personelin iş ilişkisi sona erinceye kadar saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Dış ortam kamera kayıtlarının tutulması | 4 ay saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Personel Adayı Değerlendirme | Olumsuz sonuçlanan değerlendirmeler 3 yıl süre ile saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Personel İşe Giriş | Personelin iş ilişkisinin sona ermesinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Personel İşten Ayrılış | Personelin iş ilişkisinin sona ermesinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Personel İcra Takibi ve Kesintisi | Personelin iş ilişkisinin sona ermesinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Personel Maaş İşlemleri | Personelin iş ilişkisinin sona ermesinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Seçilen Personellerin Onaya Gönderilmesi | Personelin iş ilişkisinin sona ermesinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Eğitim faaliyetleri | İş sözleşmesinin sona ermesi ile birlikte İSG mevzuatı kapsamında yer alan kişisel veriler 15 yıl, diğer veriler ise 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
İzinler | Personelin iş ilişkisinin sona ermesinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Otomatik Katılım Sistemi İşlemleri | Personelin iş ilişkisinin sona ermesinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
İş yeri açılış işlemleri | İşlenen kişisel verilerin 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
İş kazası bildirimleri | Personelin iş ilişkisinin sona ermesinden itibaren 15 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Engellilik indirim talebi | Personelin iş ilişkisinin sona ermesinden itibaren 15 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Şikayet Değerlendirme | Şikayetin sözleşmesel bir ilişkiden kaynaklanması durumunda sözleşmenin sona erme tarihinden itibaren 10 yıl, diğer durumlarda şikayetin sonuçlandırılması tarihinden itibaren 3 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Memnuniyet Anketi | Anketin gerçekleştirilmesinden itibaren 3 yıllık saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Firma Ödemeleri/Teminat | Sözleşmesel ilişkinin sona erme tarihinden itibaren 10 yıl süre ile saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Fatura tahakkuku | Türk Ticaret Kanunu’ndan kaynaklanan durumlarda 10 yıl, Vergi Usul Kanunu’ndan kaynaklanan durumlarda ise 5 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Beyanname Düzenlenmesi | Vergi Usul Kanunu uyarınca 5 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Pazarlama Faaliyetleri ve Özel Site Yönetim Kurulları takibi | Sözleşmesel ilişkinin sona erme tarihinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Konut Asist Programı | Sözleşmesel ilişkinin sona erme tarihinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Tebligat/Bilgilendirme işlemleri | Sözleşmesel ilişkinin sona erme tarihinden itibaren 10 yıl saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
Boğaziçi Yönetim A.Ş ve Danışmanlık hizmeti verdiği işletmelerin; satınalma süreçlerini yönetmek ve İdarenin kendi ihtiyaçları doğrultusunda yapılacak olan alımların 4734 sayılı Kamu İhale Kanunu kapsamında satınalma süreçlerini yönetmek | Sözleşmesel ilişkinin/ satın alma işleminin sona erme tarihinden itibaren 10 yıl süre ile saklanır. | Saklama süresinin bitimini takip eden ilk periyodik imha işleminde imha edilir. |
9. PERİYODİK İMHA SÜRELERİ
Kişisel verilerin imha edilmesine ilişkin yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında (Her yılın 1. ve 7. ayının sonunda) gerçekleştirilir.
Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin bulunduğu tutanaklar diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süre ile saklanır.
10. MEVCUT KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASINDA YAPILAN GÜNCELLEME İÇERİĞİ TABLOSU
GÜNCELLEME TARİHİ | GÜNCELLENMEDEN ÖNCE | GÜNCELLENDİKTEN SONRA |
11. TUTANAK
Yukarıda belirtilen silme, yok etme ve anonim hale getirme işlemleri; işlemleri gerçekleştiren ilgili birim müdürü, şefi ve personelinin üçlü imzası ile hazırlanan tutanak ile kayıt altına alınır.