EKO MMI FUARCILIK TİCARET LTD. ŞTİ.
KİŞİSELVERİ SAKLAMA, İMHA VE ANONİMLEŞTİRME POLİTİKASI

A.KAPSAM

1. İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”); EKO MMI FUARCILIK LTD. ŞTİ.’nin (“IFAT Eurasia”) kişisel verileri işlediği herhangi bir sürece dâhil olan tüm departmanlarını, çalışanlarını ve 3. Kişileri kapsamaktadır.
2. İşbu Politika; IFAT Eurasia’nın kişisel veriler üzerinde uygulayacağı tüm imha faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda uygulanacaktır.
3. İşbu Politika “kişisel veri” niteliğinde olmayan veriler hakkında uygulanmayacaktır.

B.TANIMLAR

Kanun
6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.

Yönetmelik
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.

Kurul                                      
Kişisel Verileri Koruma Kurulu’dur.

Kayıt ortamı                          
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır.

Kişisel Veri İşleme Envanteri
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcılar ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanterdir.

İmha                                      
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Periyodik imha                    

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Veri kayıt Sistemi                
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Sorumlusu                     
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

C. AMAÇ

İşbu Politika, Kanunun 7.maddesi [1]  ve Yönetmelik hükümleri uyarınca IFAT Eurasia ile IFAT Eurasia’nın sözleşmeyle sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirlemektedir. Bu kapsamda kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

1. Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
2. IFAT Eurasia kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, Kanunun 12. Maddesinde [2] yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kişisel Verileri Koruma Kurulu’nun alacağı kararlara ve Politikaya uygun hareket edecektir.

D. KAYIT ORTAMLARI

Kişisel veri içeren IFAT Eurasia adına kullanılan bilgisayarlar/sunucular, ağ cihazları, ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri, bulut sistemleri, mobil telefonlar ve içerisindeki tüm saklama alanları, kâğıt, mikrofiş, yazıcı, parmak izi okuyucu gibi çevre birimler, manyetik bantlar, optik diskler, flash hafızalar gibi kayıt ortamları ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel veriler işbu Politikanın kapsamına dâhildir.

E.KİŞİSEL VERİLERİN İMHASINI GEREKTİREN HALLER

1)     İşlemeye esas mevzuatın değişmesi veya ilgası,

2)     İşlemeye esas sözleşmenin sona ermesi veya hükümsüzlüğü,

3)     İşlenme amaç ve şartlarının ortadan kalkması,

4)     İşleme faaliyetinin dürüstlük kuralına veya hukuka aykırı olması,

5)     Açık rızaya bağlı işleme faaliyetlerinde rızanın geri alınması,

6)     Veri sorumlusunun başvuruda bulunması ve bu başvurunun kabulü,

7)     Veri sorumlusunun başvuruda bulunması ve bu başvurunun reddi neticesinde Kişisel Verileri Koruma Kurulu’nun talebin karşılanması gerektiğine ilişkin kararı,

8)     Saklama süresinin sona ermesi.

F.KİŞİSEL VERİLERİN İMHASI

İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Kişisel verilerin imhası, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi aşağıdaki yöntemlerle uygulanabilir. Bu işlemler, ilgili bilgi varlığı sahibinin onayı ile gerek duyulduğunda yetkili birimden destek alınarak gerçekleştirilmelidir. Yapılacak tüm çalışmalarda Veri İmha Formu doldurulup imzalanarak işleme alınmalıdır.

Yukarıda belirtilen ortamlardaki veri ve yazılımların uygun olarak silinmesinden, imhasından ve varlık envanterinin güncellenmesini talep etmekten, ortamın sahibi sorumludur.                                    

1. SİLME

Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemleri aşağıdaki gibidir.

• Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir.
• Merkezi sunucuda yer alan ofis dosyaları İşletim sistemindeki silme komutu ile silinir.
• Taşınabilir medyada bulunan kişisel veriler uygun yazılımlarla silinir.
• Veri tabanları kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinir.

2. YOKETME

Kişisel verilerin yok edilmesi, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir.

2.a. Yerel Sistemler

2.a.1. De-Manyetize Etme

Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

2.a.2. Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

2.a.3. Fiziksel Yok Etme 

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

 2.b. Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası

Yazıcı,parmak izi ünitesi kapı giriş turnikesi gibi sistemler içerisinde gizli bilgiler mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma ve fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

2.b.1. Ağ cihazları (switch, routervb.): F.2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

2.b.2. Flash tabanlı ortamlar: Üreticinin önerdiği yok etme yöntemini kullanmak ya da F.2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

2.b.3. Manyetik disk gibi üniteler: De-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.

2.b.4. Mobil telefonlar (Sim kart ve sabit hafıza alanları): F.2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

2.b.5. Optik diskler: Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.

2.b.6. Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre F.2.a’dabelirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

2.b.7. Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: F.2.a’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.

2.c. Kâğıt Ortamlar                

Kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölerek imha edilmesi gerekmektedir.

3. YÜRÜRLÜK VE YÜRÜTME

Bu Prosedür Genel Müdürlük makamının onay tarihi itibariyle yürürlüğe girer. Prosedür hükümleri IFAT Eurasia şirketinin yetki verdiği kişi/birimler tarafından yürütülür.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi  

Madde 7 – (1) Bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Veri güvenliğine ilişkin yükümlülükler

MADDE 12 – (1) Veri sorumlusu;

• a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzelkişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken surumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

İstisnalar

Madde 28 – (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

a)Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi

c)Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi

(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi

c)Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması