İÇİNDEKİLER:
1. Giriş
2. Politika’nın Amacı Ve Kapsamı
3. Tanımlar
4. Politika İle Düzenlenen Kayıt Ortamları
5. Kişisel Verilerin Saklanmasını Gerektiren Sebepler
6. Kişisel Verilerin İmhasını Gerektiren Sebepler
7. Kişisel Verilerin İmha Edilmesi İşlemi İle İlgili Uygulanan Yöntemler
8. Kişisel Verilerin Güvenli Bir Şekilde Saklanması, Hukuka Aykırı Olarak İşlenmesi Ve Erişilmesinin Önlenmesi ve Hukuka Uygun Olarak İmha Edilmesi İçin Alınmış Teknik ve İdari Tedbirler
9.Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Unvanları, Birimleri ve Görev Tanımları
10. Saklama ve İmha Süreleri
11. Periyodik İmha
12. Yürürlük
1. GİRİŞ:
Kişisel verilerin korunması, BUĞDAY EKOLOJİK YAŞAMI DESTEKLEME DERNEĞİ (BUĞDAY DERNEĞİ) için büyük önem arz etmekte olup, bu konuda azami hassasiyet gösterilmektedir. Bu doğrultuda, kişisel verilerin kişilerin beklentileri ile tutarlı bir şekilde ve yasalara uygun olarak işlenmesi, derneğimizin temel yapı taşlarından biridir. Bu bakımdan derneğimiz, faaliyetleri sırasında elde etmiş olduğu kişisel verileri başta Anayasa olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (Yönetmelik) ve diğer ilgili mevzuata uygun şekilde hazırlanan işbu Kişisel Veri Saklama ve İmha Politikası’nda (Politika) belirtilen genel prensipler ve düzenlemelere uygun şekilde saklamakta ve imha etmektedir.
2. POLİTİKA’NIN AMACI VE KAPSAMI:
İşbu Politika ile derneğimiz, Kanun kapsamındaki kişisel veri işleme faaliyetlerine konu olan üyelerimizin, gönüllülerimizin, bağışçılarımızın, çalışanlarımızın, çalışan adaylarımızın, yetkililerimizin, ziyaretçilerimizin, işbirliği içinde olduğumuz kamu kurumlarının ve özel hukuk tüzel kişilerinin ve bunların alt işverenlerinin, çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin saklanması ve imha edilmesine ilişkin derneğin genel ilke ve prensiplerinin ortaya konulmasını ve bu hususlarla ilgili mevzuatla belirlenen yükümlülüklerin yerine getirilmesini hedeflemiştir. İşbu Politika, derneğimizin Kanun kapsamındaki veri işleme faaliyetlerine konu olan tüm kişisel verileri kapsamaktadır. Ayrıca, işbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan belge ve dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır.
3. TANIMLAR:
● Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
● Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
● Anayasa: Türkiye Cumhuriyeti Anayasası’nı ifade eder.
● Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.
● Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlardır.
● Bilgi Güvenliği Politikası: BUĞDAY DERNEĞİ’nin işlettiği sistem, bilgi ve varlıkların gizlilik, bütünlük ve erişilebilirliğinin sağlanması için gerekli gereksinimleri tanımlamak amacıyla hazırlanan ve Kişisel Veri Güvenliği yönetimini de içinde barındıran Politikadır.
● İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
● İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
● Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
● Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. (Örn. ad-soyadı, TCKN, e-posta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası – Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun ve işbu Politika kapsamında değildir.)
● Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişidir.
● Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
● Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
● Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
● Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda, Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
● Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
● Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişidir.
● Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
● Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen bilişim sistemini ifade eder.
4. POLİTİKA İLE DÜZENLENEN KAYIT ORTAMLARI:
Derneğimizin Kanun kapsamındaki veri işleme faaliyetlerine konu olan ve tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin saklandıkları ortamlar, detaylı bir şekilde aşağıdaki tabloda belirtilmektedir. Söz konusu ortamlarda, Ek-1’de yer alan Saklama ve İmha Süreleri Tablosunda (Saklama Tablosu) belirtilen süreler boyunca kişisel verileri içeren kayıt, belge, doküman ve raporlar operasyonel verimlilik gözetilerek farklı kayıt ortamlarında işbu Politika’ya uygun olarak saklanır ve imha edilir. Bu ortamların başlıcalarına aşağıda yer verilmektedir:
Elektronik Ortamlar
• Ortak sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vb.)
• Yazılımlar (ERP yazılımları, ofis yazılımları, portal)
• Bilgi güvenliği cihazları (Güvenlik duvarları, saldırı tespit ve engelleme sistemleri, Log yönetimi sistemleri, Veri sızıntısı önleme sistemleri vb.)
• Kişisel bilgisayarlar (Masaüstü, dizüstü)
• Mobil cihazlar (Telefon vs.)
• Optik diskler (CD, DVD vb.)
• Çıkartılabilir bellekler (USB, hafıza kartı vb.)
• Yazıcı, tarayıcı, fotokopi makinesi
• IP telefonlar
Elektronik Olmayan Ortamlar
• Manuel veri kayıt sistemleri (Anket formları, ziyaretçi giriş defteri vb.)
• Yazılı, basılı, görsel ortamlar
• Fiziki klasörler (Birim arşivleri, çalışan klasörleri, dava dosyaları vb.)
5. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN SEBEPLER:
Derneğimiz kişisel veri işleme faaliyetlerinde aşağıdaki ilkeleri esas almaktadır:
• Hukuka ve dürüstlük kuralına uygun olunması,
• Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
• Belirli, açık ve meşru amaçlarla işleme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme. Derneğimiz, yukarıda bahsi geçen ilkelerle uyumlu şekilde, ‘Kişisel Veri İşleme Envanteri ve Kişisel Verilerin Toplanması, İşlenmesi Ve Aktarılması Politikası’nın ilgili maddelerinde yer alan kişisel veri işleme amaçlarıyla ve aşağıda belirtilen Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarına istinaden kişisel verileri saklamakta ve kullanmaktadır. Söz konusu şartların tamamının ortadan kalkması halinde, BUĞDAY DERNEĞİ, kişisel verileri re’sen veya kişisel veri sahibinin talebi üzerine imha etmektedir. Kanun’da yer alan ve Derneğimizce uyulan kişisel veri işlemenin hukuka uygunluk sebepleri aşağıdaki gibidir:
5.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması: Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
5.2. Kanunlarda Açıkça Öngörülmesi: Veri sahibinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir.
5.3. Fiili İmkânsızlık Sebebiyle Kişisel Veri Sahibinin Açık Rızasının Alınamaması: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
5.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına, tarafların ortak, yetkili, çalışan ve müşterilerine ait kişisel verilerin işlenmesi mümkündür.
5.5. Hukuki Yükümlülük: Derneğimizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde kişisel veri sahibinin verileri işlenebilecektir.
5.6. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
5.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
5.8. Derneğimizin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Derneğimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Bu doğrultuda, kişisel veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.
6. KİŞİSEL VERİLERİN İMHASINI GEREKTİREN SEBEPLER:
Kişisel veriler; aşağıda sayılan hallerde Periyodik İmha işlemi esnasında veya Kişisel Veri Sahibi’nin talebi üzerine imha edilir. İmha işleminden sonra yer alan imha tutanağı doldurularak imzalanır.
6.1. İşlenmesine esas teşkil eden hukuka uygunluk sebebinin ortadan kalkması; ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
6.2. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
6.3. Kişisel verileri işlemenin açık rıza şartına istinaden gerçekleştiği hallerde, Kişisel Veri Sahibi’nin açık rızasını geri alması,
6.4. Kanun’un 11. maddesi gereği Kişisel Veri Sahibi’nin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Dernek tarafından kabul edilmesi,
6.5. Kişisel Veri Sahibi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile yaptığı başvurunun Dernek tarafından reddedilmesi, Dernek’in verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Veri Sahibi’nin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
6.6. Kişisel verilerin saklanabileceği azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
7. KİŞİSEL VERİLERİN İMHA EDİLMESİ İŞLEMİ İLE İLGİLİ UYGULANAN YÖNTEMLER:
Derneğimiz işbu Politika’nın 6. maddesinde açıklanan hallerde kişisel verileri aşağıdaki yöntemlerle silmekte, yok etmekte veya anonim hale getirmektedir. Derneğimiz, kişisel verilerin imhasında azami dikkat ve özeni göstermektedir. Bu kapsamda alınan önlemler işbu Politika’nın 8. maddesinde düzenlenmektedir. Derneğimiz, Kanun’un 12. maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. İmha kapsamında gerçekleştirilen tüm işlemler Derneğimiz tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmaktadır. Derneğimiz, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını teknolojik imkânlar ve uygulama maliyetine göre seçmektedir.
7.1. Kişisel Verilerin Silinmesi Yöntemleri: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu kapsamda Derneğimiz, kişisel verileri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:
Veri Kayıt Ortamı
Sunucularda yer alan kişisel veriler:
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamda yer alan kişisel veriler:
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda yer alan kişisel veriler:
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu kişi/kişiler hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Taşınabilir medyada bulunan kişisel veriler:
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
7.2. Kişisel Verilerin Yok Edilme Yöntemleri: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu kapsamda Derneğimiz, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:
Veri Kayıt Ortamı
Fiziksel ortamda yer alan kişisel veriler:
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, çapraz kesimli kâğıt imha makineleri kullanılarak yok edilir.
Optik/Manyetik medyada yer alan kişisel veriler:
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, torna atölyesinde kullanılamaz hale getirme, preslenerek atık alıcısı firmaya gönderilme gibi işlemlere göre yok edilir.
8. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI, HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ VE HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER:
Derneğimiz, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile hukuka uygun olarak imha edilmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun’un 12. maddesi ile 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:
8.1. Teknik Tedbirler:
• Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi yapılmaktadır. Aynı zamanda periyodik olarak yetki gözden geçirmeleri gerçekleştirilmektedir.
• Kurum uygulamaları ve sistemlerinde kullanıcı hesap yönetimi ve şifre yönetim sistemi uygulanmaktadır.
• Kurum içerisinde yapılan uygulama geliştirme faaliyetleri güvenli sistem mühendisliği prensipleri, güvenli yazılım geliştirme standartları çerçevesinde gerçekleştirilmektedir.
• Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
• Dernek içerisinde erişim ve yetkilendirme prosedürleri oluşturulmuş olup uygulaması Genel Müdür tarafından takip edilmektedir. Bu prosedürler kişisel verilerin korunması açısından da teminat oluşturmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu Kişisel Veri Sahibi’ne ve Kurula bildirmek için buna uygun bir prosedür ve altyapı oluşturulmuştur.
• Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara gerekli taahhütler alınmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• Dernek internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
• Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmaktadır.
8.2. İdari Tedbirler:
• Kişisel verilere yetkisiz erişim, imha, değişiklik, ifşa veya kayıp gibi risklere karşı Derneğimiz tarafından verinin bütünlüğü, gizliliği, kullanılabilirliği ve korunmasını teminen ‘Kişisel Veri İşleme Envanteri ve Kişisel Verilerin Toplanması, İşlenmesi Ve Aktarılması Politikası oluşturulmuştur. Bu Politika ile belirlenen düzenlemeler ile korunmaktadır.
• Dernek içi eğitimlerle ve duyurularla tüm çalışanlarda farkındalık oluşturulmaktadır.
• Görevlerinin gereklerini yerine getirmek için kişisel verilere erişime ihtiyaç duyan çalışanların erişimleri, görevlerini yerine getirmelerini sağlayacak asgari erişim seviyesi ile sınırlandırılır.
• Gizlilik ve güvenlik risk değerlendirmeleri ve denetim süreçleri sonucu açığa çıkan risk ve zafiyetler yetkili yönetici personel tarafından değerlendirilerek ivedilikle çözülür.
• Kişisel veri işlemeye başlamadan önce Dernek tarafından, Kişisel Veri Sahipleri’ni aydınlatma yükümlülüğü yerine getirilmektedir. Gerekli durumlarda kişisel veri sahibinden rıza istenmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır ve güncel tutulması için Dernek bünyesinde gerekli bilgilendirme yapılmıştır.
• Dernek tarafından yürütülen faaliyetlere ilişkin olarak çalışanlara “Kişisel Verilerin Çalışan Tarafından İşlenmesi ve Korunmasında Uyulacak Prensiplere İlişkin Taahhütname” imzalatılmaktadır.
• Dernek içi periyodik ve rastgele denetimler yapılmaktadır.
• Veri aktarılan/alınan taraflar ile imzalanan sözleşmelerde kişisel verilerin korunmasına ilişkin hükümler eklenmekte veya veri aktarım taahhütnamesi imzalanmaktadır.
9. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI:
Derneğimiz, kişisel verilerin saklanması ve imha edilmesi süreçlerinde yer alan kişileri, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitmektedir. Bu kapsamda, Derneğimiz çalışanları ve/veya görevleri dolayısıyla kişisel verileri öğrenen kişiler, bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine uyun olarak saklamakta ve imha etmektedir. Bu yükümlülük, ilgili kişilerin görevden ayrılmalarından sonra da devam etmektedir. Bu kapsamda, Derneğimizin saklama ve imha süreçlerinde yer alan kişilere ilişkin detaylar aşağıda açıklanmaktadır:
Ünvan: Genel Müdür
Açıklama: Çalışanların Politika’ya uygun hareket etmesinden sorumludur.
10. SAKLAMA VE İMHA SÜRELERİ:
Derneğimiz, kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda Derneğimiz, kişisel verileri Saklama Tablosu’nda belirtilen azami süreler boyunca saklamakta ve sonrasında imha etmektedir.
Kişisel veri sahibinin, Derneğimize başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde Derneğimiz, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa:
a) Kişisel veri sahibinin talebini en geç otuz gün içinde sonuçlandırır ve kişisel veri sahibine bilgi verir, ve
b) Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, kişisel veri sahibinin talebini Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını kişisel veri sahibine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
11. PERİYODİK İMHA:
Derneğimiz, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha etmektedir. Bu kapsamda Derneğimiz, kişisel verileri imha etme yükümlülüğünün ortaya çıkması halinde kişisel verileri Ocak ve Temmuz aylarının son haftasında olacak şekilde, 6 aylık periyotlar halinde imha işlemine tabi tutmaktadır. Dernek tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
a) Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde,
b) Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta,
c) Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikası’nda yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi yerine getirir.
12. YÜRÜRLÜK:
İşbu Politika 14.07.2021 tarihinde yürürlüğe girmiştir. Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncel Politika intranet portalinde yayımlandığı tarihte yürürlüğe girecektir.
İşbu Politika ile Kanun, Yönetmelik ve BUĞDAY DERNEĞİ’nin Kişisel Veri İşleme Envanteri Ve Kişisel Verilerin Toplanması, İşlenmesi Ve Aktarılması Politikası hükümleri arasında herhangi bir çelişki olması halinde, Kanun, Yönetmelik ve BUĞDAY DERNEĞİ’nin Kişisel Veri İşleme Envanteri Ve Kişisel Verilerin Toplanması, İşlenmesi Ve Aktarılması Politikası’nda yer alan hükümler geçerlidir