anasayfa / KVKK / Pencere Psikolojik ve Pedagojik Danışma Merkezi KİŞİSEL VERİLERİ SAKLAMA VE İMHA YOLLARI HAKKINDA BİLGİLENDİRME METNİ
Pencere Psikolojik ve Pedagojik Danışma Merkezi KİŞİSEL VERİLERİ SAKLAMA VE İMHA YOLLARI HAKKINDA BİLGİLENDİRME METNİ

Yürürlük Tarihi: 01/01/2022

1. AMAÇ
Bu metnin amacı, Pencere Sağlık Eğitim Yayın Sanayi ve Ticaret Limited Şirketi (pencere-sey)’nin, “Kişisel Verilerin İşlenmesi ve Korunması Hakkında Bilgilendirme Metni”nde ayrıntılarıyla anlatıldığı üzere KVKK kapsamında toplanan kişisel verilerin yine 6698 sayılı KVKK ve “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”e uygun olarak saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yükümlülükleri konusunda pencere-sey içerisinde ve/ya da pencere-sey tarafından uyulan yöntem ve esasları açıklamaktır.

2. KAPSAM
Bu metin pencere-sey’in danışan, çalışan ve/ya da herhangi bir nedenle ilişkide olduğu diğer gerçek kişilerle ilgili basılı, elektronik veya diğer ortamlardaki tüm kişisel verilerin saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesi ile ilgili kuralları kapsar.

3. TANIMLAR
Bilgilendirme metnindeki tanımlar geçerlidir.

4. SORUMLULUKLAR

  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi pencere-sey tarafından bu prosedürde belirtilen teknik ve idari önlemlere, ilgili mevzuat hükümlerine, Kurul kararlarına uygun olarak gerçekleştirilir.
  • Kurul tarafından tersine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olan pencere-sey tarafından seçilir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak değiştirilebilir.
  • Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler pencere-sey tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler dışında 6. Maddede açıklanan sürelerle saklanır.
  • pencere-sey’in söz konusu kişisel verileri saklaması, arşivlemesi, süresi bittiğinde elinde tutmaması silmesi, yok etmesi ve / ya da anonim hale getirmesini sağlamak tüm çalışanların ve veri bağlantı kişisinin sorumluluğudur.
  • KVKK’nın ilgili maddelerinde yer alan kişisel verilerin işlenme koşullarının tamamının ortadan kalkması halinde, kişisel veriler pencere-sey tarafından periyodik imha zamanlarında re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir ve / ya da anonim hale getirilir.

 

5. KİŞİSEL VERİLERİN SAKLANMASI

  • Veri sahiplerine ait kişisel veriler, pencere-sey tarafından özellikle (i) Özel eğitim hizmetlerinin sürdürülebilmesi (ii) Psikolojik danışma alanında hizmetlerin sürdürülebilmesi, (iii) Danışan ilişkilerinin yönetilebilmesi, (iv) Hukuki yükümlülüklerin yerine getirilebilmesi, (v) Çalışan haklarının ve yan haklarının planlanması ve yerine getirilmesi amacıyla uygun ortamlarda güvenli olarak KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanır.
  • Saklamayı gerektiren nedenler aşağıdaki gibidir:
  • Kişisel veriler, doğrudan doğruya özel eğitim hizmetlerinin ve psikolojik danışmanlık hizmetlerinin verilmesi, bu sözleşmelerin kurulması ve uygulanması ile ilgili olması nedeniyle,
  • Bir hakkın verilmesi, kullanılması veya korunması amacıyla,
  • Kişilerin temel hak ve özgürlüklere zarar vermemek kaydıyla pencere-sey’in meşru yararı için zorunlu olduğundan,
  • pencere-sey’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla,
  • Mevzuatta açıkça öngörülmesi nedeniyle,
  • Veri sahiplerinin açık rızasının bulunması şartıyla saklanmaktadır.

 

  • Kişisel veriler, pencere-sey bünyesinde ilgili yasal saklama / zaman aşımı süreleri veya bu verilerle ilişkili faaliyetlerin ve bu prosedürde de belirtilen amaçların gerçekleştirilmesi için ve gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi / zaman aşımı sona eren kişisel veriler, KVKK’nın 7. maddesi uyarınca pencere-sey tarafından silinir, yok edilir ve/ yaya anonim hale getirilir.

6. SAKLAMA VE İMHA SÜRELERİ
a. Söz konusu verilerin imhasında uygulanacak yöntem, verinin niteliği pencere-sey nezdindeki önem derecesine göre belirlenir.
b. Verilerin saklanmasının KVKK, 4. madde ilkelerine uygunluğu sorgulanır ve bu ilkelere aykırılık teşkil edebileceği tespit edilenler silinir, yok edilir ya da anonim hale getirilir.
c. Verilerin saklanmasının KVKK, 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi / hangileri kapsamında değerlendirilebileceği tespit edilir ve bu istisnalar çerçevesinde verilerin saklanması gereken makul süreler belirlenir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
d. Verilerin saklama ve imha işlemlerinde Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir.
e. Saklama süresi dolan kişisel veriler, pencere-sey tarafından belirlenen imha süreleri çerçevesinde, her yılın Eylül ayı’nda bu metinde yer verilen usullere uygun olarak imha edilir.
f. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
g. Kişisel veri saklama ve imha süreleri aşağıdaki gibidir.

 

7. SAKLAMA VE İMHA USULLERİ
a. KAYIT ORTAMLARI VERİ TÜRÜ MUHAFAZA SÜRESİ İMHA SÜRESİ

  • E-postalar ve pencere-sey içi yazışmalar 10 yıl,
  • Sözleşmeler, sözleşmenin sona ermesini izleyen 10 yıl,
  • Danışan dosyaları, danışan ile yapılan son görüşmeyi izleyen 10 yıl,
  • Çalışan Kayıtları, çalıştıkları süre boyunca ve işten ayrılmalarını izleyen 10 yıl,
  • Muhasebe ve finans kayıtları 10 yıl,
  • pencere-sey içi şikayetler ve ilgili belgeler 10 yıl,
  • Hukuk kayıtları 10 yıl,
  • Resmi yazışmalar süresiz ya da saklama süresi söz konusuysa bu sürenin bitimine kadar,
  • Vergi Kayıtları 10 yıl,

Yukarıda sıralanan bütün maddelerdeki kişisel bilgi ve belgeler pencere-sey tarafından başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanır ve saklama sürelerinin bitimini izleyen ilk periyodik imha süresinde yine ilgili kanun ve yönetmelik hükümlerine uygun olarak yok edilir.
b. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenme ve erişilmesinin önlenmesi, verilerin hukuka uygun olarak imha edilmesi amacıyla pencere-sey tarafından alınmış olan tüm idari ve teknik önlemler aşağıda sayılmıştır:

İdari önlemler

  • Kişisel veri envanteri hazırlar ve süreç içerisinde günceller.
  • VERBIS kaydını gerçekleştirir ve herhangi bir değişiklik halinde sicildeki bilgileri günceller.
  • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgili kişi ve / ya da Kurul’a bildirir.
  • Saklanan kişisel verilere pencere-sey içi erişimi, iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Çalışanların niteliği ve teknik bilgi / becerisi geliştirilir, kişisel verilerin hukuka aykırı işlenmesi önlenir.
  • Çalışanlarla imzalanan iş sözleşmelerinde sır saklama yükümlülüğü ve gizlilik hükümlerine yer verir.
  • pencere-sey periyodik veya rastgele kontroller gerçekleştirir, kontrol ve/veya denetim sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerinin giderilmesini sağlar, ilgili kişileri aydınlatma yükümlülüğünü yerine getirir.
  • Kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar ya da mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar. Gizlilik taahhütnameleri yapar.
  • Kişisel veri içeren fiziksel ortamlara (kilitli dolaplar vb gibi) erişim ile ilgili gerekli güvenlik önlemleri alır ve fiziksel ortamların dış risklere karşı güvenliğini sağlar.
      • Çalışan Özlük Dosyaları, Danışan Dosyaları gibi gizli belgeler kilitlenebilir bir dolapta saklanır.
      • Tüm Çalışanlar hiçbir bilginin hileli kullanımlara maruz kalmamasını sağlamak için gizli belgeleri imha etmek üzere evrak imha etme yöntemi kullanır.
      • Kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında eğitimler verilir.  

Teknik önlemler

  • Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçleri yürütülür.
  • Verilerin kurum dışına sızmasını engelleyecek ya da gözlemleyecek teknik altyapının temin edilmesi ve ilgili matrislerin oluşturulması sağlanır.
  • Kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli yöntemlerle korunur.
  • Ağ güvenliği ve uygulama güvenliği sağlanır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların yetkileri kaldırılır.
  • Güncel anti-virüs sistemleri kullanılır.
  • Kişisel verilerin taşınabilir bellek, CD, DVD aracılığıyla herhangi bir şekilde aktarılmaması konusunda gerekli önlemler alınır.

 

8. KİŞİSEL VERİLERİ SİLME, İMHA ETME VE ANONİMLEŞTİRME USULLERİ
pencere-sey, KVKK ve diğer ilgili mevzuata uygun olarak elde ettiği kişisel verileri, Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde re’sen ya da İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha eder.

A. KİŞİSEL VERİLERİN SİLİNMESİ
1. Bilgisayardan Güvenli Olarak Silme: Tamamen veya kısmen işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken ilgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin silinmesine ilişkin yöntemler kullanılır.
Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır. Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olup Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari önlemler alınır.
2. Kâğıt Ortamında Bulunan kişisel verilerin Karartılması: kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

B. KİŞİSEL VERİLERİN İMHA EDİLMESİ
1. Dijital Ortamda Yok Etme: Bilgisayar ortamında tutulan kayıtların ve internet sitesi aracılığıyla elde edilen kişisel verilerin sonradan kullanılamayacak biçimde yok edilmesi sistemi uygulanır.
2. Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanır, kağıt imha veya kırpma usulleri ile anlaşılmaz boyutta, geri birleştirilemeyecek şekilde küçük parçalara bölünür.
3. Anonim Hale Getirme: Kişisel verilerin, kayıtları çıkartma, değişken değiştirme, genelleştirme gibi yöntemler  ve kullanılarak, sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir.
C. pencere-sey TARAFINDAN ALINAN TEKNİK VE İDARİ TEDBİRLER
1. Çalışanlarla gizlilik taahhütnameleri ve veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. Veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri hemen kaldırılmaktadır.
2. Kişisel verilere erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulanmaktadır. Kişisel veriler mümkün olduğunca azaltılmaktadır.
3. Güncel anti-virüs sistemleri, güvenlik duvarları kullanılmaktadır.
4. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
5. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
6. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
7. Kişisel veri içeren fiziksel ortamlar güvenlidir.
8. Mevcut risk ve tehditler belirlenmiştir.
9. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve/ ya da kurumsal posta hesabı kullanılarak gönderilmektedir.
11. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır


 

Copyright © 2014 | pencere-sey®