1. Amaç
Bu prosedürün amacı, bilginin elde edilmesi, işlenmesi ve saklanmasında kullanılan tüm basılı ve yazılı içerik, bilgi teknolojileri varlıkları ve çevre birimlerinin gerekli durumlarda güvenli ve 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun‘una uygun bir şekilde imha edilmesini sağlamak.
2. Kapsam
Prosedür tüm kişisel, ticari veri kayıtlarını ve iş süreçlerini kapsar.
3. Tanımlar
Kanun : 6698 “Kişisel verilerin korunması” kanununu ifade eder.
Kişisel Veri : Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bir kişinin belirli veya belirlenebilir olması, mevcut verilerin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi suretiyle, o kişinin tanımlanabilir hale getirilmesini ifade eder.
Karartma : Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri saklama ve imha politikası : Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
Maskeleme : Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.
Periyodik imha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirmesi işlemidir.
4. Referanslar
6698 Sayılı Kişisel Verilerin Korunması Kanunun 30224 Sayılı 28.10.2018 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik
5. Uygulama
5.1. Varlıkların İmhası
Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi maddeleri) kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir. Ancak kesinleşmiş bir mahkeme kararının söz konusu olması halinde mahkeme kararı ile hükmedilen imha yöntemi uygulanmak zorundadır.
Bilgi kayıt özelliğine sahip her türlü cihazın üzerindeki bilgiler yetkisiz erişime karşı silinir ve cihaz üzerindeki disk ve kayıt mekanizması fiziksel olarak tahrip edilir. Ortam/Cihaz İmha Tutanağı bilgi sistemleri operatörü tarafından doldurulur ve imzalanır. Tarih, cihaz bilgisi, imha sebebi vb. bilgiler girilerek imha işlemi kayıt altına alınır.
Verilerin Silinmesi Yöntemleri
a.
Kâğıt Ortamında Bulunan Kişisel Veriler: Kağıt öğütücü ile imha edilerek ya da gerekli durumlarda karartma yöntemi kullanılarak silinmektedir.
b. Merkezi Sunucuda Yer Alan Ofis Dosyaları: İşletim sistemindeki silme komutu ile silinir.
c. Taşınabilir Medyada Bulunan Veriler: İşletim sistemindeki silme komutu ile silinir.
d. Veri Tabanları: Verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinir.
Varlıkların ve Verinin Yok Edilmesi Yöntemleri
a. Yerel Sistemlerde: De-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı kullanılarak yok edilir.
b. Çevresel Sistemler:
• Ağ cihazları (switch, router vb.): a maddesinde belirtilen uygun yöntemler ile yok edilir.
• Flash tabanlı ortamlar: İlgili üreticinin önerdiği yöntemler ya da a maddesinde belirtilen yöntemler ile yok edilir.
• Manyetik bant: De-manyetize ederek ya da yakma, eritme gibi fiziksel yöntemlerle yok edilir.
• Sim Kart ve sabit hafıza kartları: a maddesinde de belirtilen uygun yöntemler ile yok edilir.
• Optik diskler: yakma, küçük parçalara ayırma, eritme gibi fiziksel yöntemlerle yok edilir.
• Veri Kayıt Ortamı sabit olan çevre birimleri: a maddesinde belirtilen uygun yöntemler ile yok edilir.
c. Basılı Ortamlar: Kâğıt imha makinaları kullanılarak yok edilir. Orijinal kâğıt formattan tarama yoluyla elektronik ortama aktarılan Kişisel veriler ise bulundukları ortama göre uygun yöntemlerle yok edilirler.
Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri:
Kişisel verilerin Anonim hale getirilmesi aşamasında, Kişisel Verileri Koruma Kurumu’nun yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberinde gösterilen Kişisel Verilerin Anonim hale getirilmesi yöntemlerinden uygun olanı kullanılır.
Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi bünyesinde bulunan kayıt ortamından işbu politikaya göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir. Tereddüt duyulan durumlarda ilgili veri sahibi iş biriminden görüş alınarak işlem yapılacaktır.
Verilerin imha edilmesinde Devlet Arşivleri Genel Müdürlüğünün yayınladığı saklama sürelerini belirten yönetmelik dikkatte alınır. Birim arşivinde, Kurum arşivinde veya Devlet Arşivlerinde olması gereken süreler dolduktan sonra imha edilmesinde sakınca olmayan veriler imha edilmektedir.
5.1.1. Çok Paydaşlı Verilerin İmhası
Merkezi Bilgi Sistemlerinde yer alan çok paydaşlı veri sahipliği bulunan kişisel verilerin imhasına yönelik karar alınması gerektiğinde ise Veri Sorumlusu Temsilcisi görüşü alınarak ve söz konusu kişisel veri hakkında işbu politikaya göre verinin saklanmasına veya silinmesine, yok edilmesine veya anonim hale getirilmesine karar verilir.
5.1.2. Veri Sahibi Talebi Üzerine Kişisel Verilerin İmhası
Kişisel verinin sahibi gerçek kişi, Kanunun 13. maddesine istinaden “Kişisel Veri Sahibi Başvuru Formu” ile Üniversiteye başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılır. Kişisel verilerin silinmesi ya da yok edilmesine yönelik talepler ancak ilgili kişinin kimlik tespitinin yapılmış olması kaydıyla değerlendirilecektir. Başvuru yapan kişisel veri sahibine başvuru formunda belirlenen yöntemler aracılığıyla bilgi verilir. Yasal gereklilikler nedeniyle işleme şartları kalkmadıysa; talebe konu kişisel verilerinin silinemeyeceği veri sahibine beyan edilir. İlgili verinin işlendiği birim, kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığını inceler. İşleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri en geç üç ay içerisinde siler, yok eder veya anonim hale getirir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, ilgili verinin işlendiği birim bu durumu derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
5.2. Kişisel Verilerin Periyodik Gözden Geçirmesi
Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve veri sahibi birimler işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç altı aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir. Kişisel veri sahibinin başvurusu veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yapacaklardır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde kanunun 4. (Kişisel Verilerin İşlenmesi) maddesindeki genel ilkeler ile 12. (Veri Güvenliğine İlişkin Yükümlülükler) maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve mahkeme kararlarına uygun hareket edilmektedir.
5.3. Kişisel Verilerin Saklanması
Kişisel verilerin işlenme süreleri “Kişisel Veri İşleme Envanteri” içerisinde belirtilmiştir.
Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde söz konusu saklama ve imha süreleri dikkate alınacaktır. Saklama ve imha süreçleri yasal bir zorunluluk olmadığı sürece veri sahibinin talebi üzerine değişkenlik gösterebilir.
Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kâğıt ortamındaki evraklar, CD, DVD ve USB gibi cihazların kullanılmadığı zamanlar da kilit altında tutulması, sadece yetkili personelin erişmesi ve giriş çıkışların kamera ile izlenmesi gibi fiziksel güvenliğe ilişkin önlemler alınmıştır. Dijital ortamda tutulan kişisel verilerin bulunduğu sunucular Üniversite sistem odasında, gerekli güvenlik önlemleri alınmış şekilde saklanmaktadır.
Kişisel Verilerin Güvenliğinin Sağlanması için alınan idari ve teknik tedbirler detaylı olarak Kişisel Verilerin Korunması Ve İşlenmesi Politikasında yer almaktadır.
6. Kontrol
Dokümanlar ihtiyaç halinde revize edildiği gibi, yılda bir kez periyodik olarak kontrol edilir.
Mağazamızda verilen tüm servisler Anadolu Mah. Neci̇p Fazil Cd. No:163/B Arnavutköy / İstanbul adresinde kayıtl Fennes Home firmamıza aittir ve firmamız tarafından işletilir.
Üyelik veya mağazamız üzerindeki çeşitli form ve anketlerin doldurulması suretiyle üyelerin kendileriyle ilgili bir takım kişisel bilgileri (isim-soyisim, firma bilgileri, telefon, adres veya e-posta adresleri gibi) mağazamız tarafından işin doğası gereği toplanmaktadır.
Firmamız bazı dönemlerde müşterilerine ve üyelerine kampanya bilgileri, yeni ürünler hakkında bilgiler, promosyon teklifleri gönderebilir. Üyelerimiz bu gibi bilgileri alıp almama konusunda her türlü seçimi üye olurken yapabilir, sonrasında üye girişi yaptıktan sonra hesap bilgileri bölümünden seçimi değiştirebilir ya da kendisine gelen bilgilendirme iletisinde ki linkle bildirim yapabilir.
Mağazamız üzerinden veya e-posta ile gerçekleştirilen onay sürecinde, üyelerimiz tarafından mağazamıza elektronik ortamdan iletilen kişisel bilgiler, üyelerimiz ile yaptığımız ‘Kullanıcı Sözleşmesi’ ile belirlenen amaçlar ve kapsam dışında üçüncü kişilere açıklanmayacaktır.
Sistemle ilgili sorunların tanımlanması ve verilen hizmet ile ilgili çıkabilecek sorunların veya uyuşmazlıkların hızla çözülmesi için, firmamız üyelerinin IP adreslerini kaydetmekte ve bunu kullanmaktadır. IP adresleri, kullanıcıları genel bir şekilde tanımlamak ve kapsamlı demografik bilgi toplamak amacıyla da kullanılabilir.
Firmamız, Üyelik Sözleşmesi ile belirlenen amaçlar ve kapsam dışında da, talep edilen bilgileri kendisi veya işbirliği içinde olduğu kişiler tarafından doğrudan pazarlama yapmak amacıyla kullanabilir. Kişisel bilgiler, gerektiğinde kullanıcıyla temas kurmak için de kullanılabilir. Firmamız tarafından talep edilen bilgiler ve kullanıcı tarafından sağlanan bilgiler veya mağazamız üzerinden yapılan işlemlerle ilgili bilgiler; firmamız ve işbirliği içinde olduğu kişiler tarafından ‘Üyelik Sözleşmesi’ ile belirlenen amaçlar ve kapsam dışında da, üyelerimizin kimliği ifşa edilmeden çeşitli istatiksel değerlendirmeler, veri tabanı oluşturma ve pazar araştırmalarında kullanılabilir.
Firmamız, gizli bilgileri kesinlikle özel ve gizli tutmayı, bunu bir sır saklama yükümü olarak addetmeyi ve gizliliğin sağlanması ve sürdürülmesi, gizli bilginin tamamının veya herhangi bir kısmının kamu alanına girmesini veya yetkisiz kullanımını veya üçüncü bir kişiye ifşasını önlemek için gerekli tüm tedbirleri almayı ve gerekli özeni göstermeyi taahhüt etmektedir.
KREDİ KARTI GÜVENLİĞİ
Firmamız, alışveriş sitelerimizden alışveriş yapan kredi kartı sahiplerinin güvenliğini ilk planda tutmaktadır. Kredi kartı bilgileriniz hiçbir şekilde sistemimizde saklanmamaktadır.
İşlemler sürecine girdiğinizde güvenli bir sitede olduğunuzu anlamak için dikkat etmeniz gereken iki şey vardır. Bunlardan biri tarayıcınızın en alt satırında bulunan bir anahtar ya da kilit simgesidir. Bu güvenli bir internet sayfasında olduğunuzu gösterir ve her türlü bilgileriniz şifrelenerek korunur. Bu bilgiler, ancak satış işlemleri sürecine bağlı olarak ve verdiğiniz talimat istikametinde kullanılır. Alışveriş sırasında kullanılan kredi kartı ile ilgili bilgiler alışveriş sitelerimizden bağımsız olarak 128 bit SSL (Secure Sockets Layer) protokolü ile şifrelenip sorgulanmak üzere ilgili bankaya ulaştırılır. Kartın kullanılabilirliği onaylandığı takdirde alışverişe devam edilir. Kartla ilgili hiçbir bilgi tarafımızdan görüntülenemediğinden ve kaydedilmediğinden, üçüncü şahısların herhangi bir koşulda bu bilgileri ile geçirmesi engellenmiş olur.
Online olarak kredi kartı ile verilen siparişlerin ödeme/fatura/teslimat adresi bilgilerinin güvenilirliği firmamız tarafından Kredi Kartları Dolandırıcılığı’na karşı denetlenmektedir. Bu yüzden, alışveriş sitemizden ilk defa sipariş veren müşterilerin siparişlerinin tedarik ve teslimat aşamasına gelebilmesi için öncelikle finansal ve adres/telefon bilgilerinin doğruluğunun onaylanması gereklidir. Bu bilgilerin kontrolü için gerekirse kredi kartı sahibi müşteri ile veya ilgili banka ile irtibata geçilmektedir.
Üye olurken verdiğiniz tüm bilgilere sadece siz ulaşabilir ve siz değiştirebilirsiniz. Üye giriş bilgilerinizi güvenli koruduğunuz taktirde başkalarının sizinle ilgili bilgilere ulaşması ve bunları değiştirmesi mümkün değildir. Bu amaçla, üyelik işlemleri sırasında 128 bit SSL güvenlik alanı içinde hareket edilir. Bu sistem kırılması mümkün olmayan uluslararası bir şifreleme standardıdır.
Bilgi hattı veya müşteri hizmetleri servisi bulunan ve açık adres telefon bilgilerinin belirtildiği internet alışveriş siteleri günümüzde daha fazla tercih edilmektedir. Bu sayede aklınıza takılan tüm konular hakkında detaylı bilgi alabilir, online alışveriş hizmeti sağlayan firmanın güvenilirliği konusunda daha sağlıklı bilgi edinebilirsiniz.
Link(ler): Web Sitesi üzerinden bir başka web sitesine, dosyalara, içeriğe veya başka bir web sitesinden Web Sitesi'ne, dosyalara ve içeriğe erişimi mümkün kılan bağlantı(lar)’ı
ÜÇÜNCÜ TARAF WEB SİTELERİ VE UYGULAMALAR
Mağazamız, web sitesi dahilinde başka sitelere link verebilir. Firmamız, bu linkler vasıtasıyla erişilen sitelerin gizlilik uygulamaları ve içeriklerine yönelik herhangi bir sorumluluk taşımamaktadır. Firmamıza ait sitede yayınlanan reklamlar, reklamcılık yapan iş ortaklarımız aracılığı ile kullanıcılarımıza dağıtılır. İş bu sözleşmedeki Gizlilik Politikası Prensipleri, sadece Mağazamızın kullanıma ilişkindir, üçüncü taraf web sitelerini kapsamaz.
İSTİSNAİ HALLER
Aşağıda belirtilen sınırlı hallerde firmamız, işbu ‘Gizlilik Politikası’ hükümleri dışında kullanıcılara ait bilgileri üçüncü kişilere açıklayabilir. Bu durumlar sınırlı sayıda olmak üzere;
1. Kanun, Kanun Hükmünde Kararname, Yönetmelik vb yetkili hukuki otorite tarafından çıkarılan ve yürürlülükte olan hukuk kurallarının getirdiği zorunluluklara uymak;
2. Mağazamızın kullanıcılarla akdettiği ‘Üyelik Sözleşmesi’nin ve diğer sözleşmelerin gereklerini yerine getirmek ve bunları uygulamaya koymak amacıyla;
3. Yetkili idari ve adli otorite tarafından usulüne göre yürütülen bir araştırma ve soruşturmanın yürütümü amacıyla kullanıcılarla ilgili bilgi talep edilmesi;
4. Kullanıcıların hakları veya güvenliklerini korumak için bilgi vermenin gerekli olduğu hallerdir.
E-POSTA GÜVENLİĞİ
Mağazamızın Müşteri Hizmetleri’ne, herhangi bir siparişinizle ilgili olarak göndereceğiniz e-postalarda, asla kredi kartı numaranızı veya şifrenizi yazmayınız. E-postalarda yer alan bilgiler üçüncü şahıslar tarafından görülebilir. Firmamız e-postalarınızdan aktarılan bilgilerin güvenliğini hiçbir koşulda garanti edemez.
Gizlilik politikamız ile ilgili her türlü soru ve önerileriniz için [email protected] adresine e-mail gönderebilirsiniz. Firmamıza ait aşağıdaki iletişim bilgilerinden ulaşabilirsiniz.
Firma Ünvanı : Fennes Home
Adres : Anadolu Mah. Neci̇p Fazil Cd. No:163/B Arnavutköy / İstanbul
Tel : 0850 308 50 14