Kişisel Veri Saklama ve İmha Politikası – Musichool
Bir sorunuz mu var?
Talep Gönder
Mesajı gönderildi. Kapat
Musichool > Kişisel Veri Saklama ve İmha Politikası

MUSICHOOL KİŞİSEL VERİ SAKLAMA VE
İMHA POLİTİKASI

İÇİNDEKİLER

  • İÇİNDEKİLER
  • HEDEF VE KAPSAM
  • DAYANAK
  • VERİ SORUMLUSU
  • TANIMLAR
  • KİŞİSEL VERİLERİN SAKLANMASI
  • KİŞİSEL VERİLERİN İMHA EDİLMESİ
  • KİŞİSEL VERİLERİN SİLİNMESİ
  • SİLME TEKNİKLERİ
  • KİŞİSEL VERİLERİN YOK EDİLMESİ
  • YOK ETME TEKNİKLERİ
  • KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
  • VERİ SAHİBİ İMHA TALEPLERİ
  • İHLAL ve YAPTIRIMLAR
  • REVİZYON

HEDEF VE KAPSAM

Faaliyet gösterdiği çeşitli sektörlerde saygın bir yer edinmeyi başaran Berkay Barbaros – Barbaros Dijidal Danışmanlık ve Eğitim Hizmetleri (Bundan böyle “Musichool” olarak anılacaktır), hukuk düzenine uyum konusunda da azami özeni göstermeyi benimsemiştir. Binaenaleyh; 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuata uyum açısından gerekli her türlü sistem inşa edilmektedir.

Muischool Kişisel Veri Saklama ve İmha Politikası ile Muischool tarafından işlenen kişisel verileri şirket bünyesinde bulundurma ve imha etme süreçlerinde benimsenen ilke ve esaslar düzenlenmektedir.

Muischool tarafından hukuka uygun şekilde işlenen kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması ya da veri sahibinin imhaya ilişkin talepte bulunması üzerine işbu politika hükümleri uygulanacaktır.

DAYANAK

Musichool Kişisel Veri Saklama ve İmha Politikası; KVK Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği yayımlanmış olup; Musichool Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan yayın ve rehberlere riayet ederek hazırlanmıştır.

VERİ SORUMLUSU

Tüzel kişiliği altında işlenen kişisel verilerin işleme amaç ve vasıtalarını belirleyen ve veri işleme faaliyetinden sorumlu olan Musichool, KVK Kanunu gereği veri sorumlusudur.

TANIMLAR

Musichool Kişisel Veri Saklama ve İmha Politikası ve mevzuatta yer alan önemli tanımlar anlamlarıyla birlikte aşağıdaki tabloda yer almaktadır:

 

Kişisel Veri   Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikteki Kişisel Veri  Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyleilgili veriler ile biyometrik ve genetik veriler
Veri Sahibi Kişisel verisi işlenen belirli yada belirlenebilir gerçek kişi (İlgili kişi)
Kişisel Verilerin İmhası Kişisel verilerin silinmesi, yok edilmesi veya anonym hale getirilmesi
Kişisel Verilerin İşlenmesi Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
       Veri     Sorumlusu Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Periyodik İmha Kişisel veri işleme ve saklama süresi dolduğunda Musichool tarafından, tekrar eden aralıklarla ve Resen gerçekleştirilecek olan imha işlemi 
  KVK Kanunu    (Kanun) 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan,24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
KVK Kurumu(Kurum) Kişisel Verileri Koruma Kurumu
         Veri İhlali Kişisel verilerin korunması hukukunda; işlenen kişisel verilerin kanuni olmayan yollarla üçüncü şahısların eline geçmesi

Veri Güvenliği Kurulu		 Musichool tarafından, kişisel verilerin korunması mevzuatına uyumun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Kurul

KİŞİSEL VERİLERİN SAKLANMASI

Musichool nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Musichool; kişisel verilerin, güvenli şekilde saklanması ve hukuka aykırı müdahalelere maruz kalmaması adına gerekli idari ve teknik tedbirleri alır. Veri güvenliğine ilişkin alınan tedbirler ve veri saklama sebepleri hususlarında Musichool Kişisel Verilerin Korunması ve İşlenmesi Politikası’na riayet edilir.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları farklı nitelik ya da Musichool’un hukuki yükümlülükleri nedeni ile aşağıda gösterilen ortamlardan farklı bir ortamda tutulabilir.

Fiziki Ortamlar Kağıt ve benzeri fiziki yollarla saklanan kişisel veriler
Elektronik Ortamlar  Musichool bünyesinde yer alan ve Musichool’un erişim yetkisine haiz olduğu sunucu ve harici disklerde 

saklanan kişisel veriler
       Bulut           Ortamlar Kriptografik yöntemler kullanılarak şifrelenmiş internet tabanlı sistemlerden yararlanılarak saklanan kişisel veriler

KİŞİSEL VERİLERİN İMHA EDİLMESİ

Kişisel verilerin imha edilmesi; işleme amacını yitiren ya da veri sahibinin talepte bulunduğu kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerini ifade eder. Kişisel verinin varlığı sözleşmesel, ticari, hukuki, idari işlemler gereğince doğması muhtemele hak taleplerine ilişkin ise söz konusu işleme ilişkin zamanaşımı süresince veriler muhafaza edilir.

 

Musichool bünyesinde işlenen kişisel veriler;

  • İlgili kişinin talebi halinde ya da
  • KVK Kanunu’nun 5’inci ve 6’ncı maddelerinde ve Musichool Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda sayılan veri işleme nedenlerinin ortadan kalkması halinde resen işbu Politika uyarınca silinir, yok edilir veya anonim hale getirilir.

Musichool tarafından; işlenmekte olan tüm kişisel veriler için 6 aylık zaman aralıkları ile periyodik imha işlemi gerçekleştirilir.

KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen verilere, veri sorumlusu haricinde bulunan ilgili kullanıcılar tarafından erişilemez.

Bu konuda talep ve şirket politikası arasında bir çelişki doğması halinde çelişkinin giderilmesi amacı ile Kişisel Verileri Korunma Kurumu’na yazılı başvuru yapılır ve ilke kararı doğrultusunda işlem yapılır.

Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcılar tespit edilir ve kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespiti yapılarak akabinde ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılmasına ilişkin işlemler gerçekleştirilir.

SİLME TEKNİKLERİ

KARARTMA

Kağıt ortamında bulunan ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilerek, aksi halde mürekkep kullanılarak kullanıcılar tarafından görünmez kılınması tekniğidir.

DİJİTAL ORTAMDAN GÜVENLİ ŞEKİLDE SİLME

Merkezi sunucularda ve bulutta yer alan kişisel veriler, işletim sistemindeki silme komutu ile güvenli şekilde silinir.

KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi, silinmesinden farklı olarak imha işlemi sonrasında veri sorumlusunun da söz konusu verilere erişememesi anlamına gelir.

YOK ETME TEKNİKLERİ

DE-MANYETİZE

Manyetik medya, de manyetize etme özellikli bir cihazdan geçirilerek verilerin okunamaz biçimde bozulur. De manyetize özellikli cihaz ihtiyaç halinde Musichool tarafından temin edilir.

FİZİKSEL YOK ETME

Optik medya ve manyetik medya eritilerek, yakılarak veya toz haline getirilerek fiziksel olarak yok edilir.

ÜZERİNE YAZMA

Manyetik medya yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilir. Gerek halinde şirket tarafından bu amaçla yazılım temin edilir.

DİJİTAL ORTAMDAN GÜVENLİ ŞEKİLDE YOK ETME

Merkezi sunucularda yer alan kişisel veriler, işletim sistemindeki yok etme komutu ile bir daha geri döndürülemeyecek şekilde yok edilir.

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi; kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. Musichool; kişisel verilerin anonim hale getirilmesi ile alakalı her türlü güvenlik önlemini alır.

ANONİM HALE GETİRME TEKNİKLERİ

Kişisel verilerin anonim hale getirilmesinde; gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi teknikler bulunmaktadır. Musichool; anonimleştirme yöntemini seçerken, kişisel verinin niteliği ve büyüklüğü, kişisel verinin fiziki ortamlarda bulunma yapısı ve çeşitliliği, veriden sağlanmak istenen fayda / işleme amacı, verinin işlenme sıklığı, kişisel verinin aktarılacağı 3. şahısların güvenilirliği, anonimleştirme için gereken çabanın anlamlı olması, kişisel verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, verinin dağıtıklık/merkezilik oranı, kullanıcıların ilgili veriye erişim yetki kontrolü ve anonimliği bozacak bir saldırı kurgulanması ihtimallerini dikkate alır.

Musichool tarafından işlenen kişisel veri kategorilerinin saklama sebep ve süreleri aşağıdaki tabloda belirtilmiştir. Saklama süresi dolan her veri, takip eden ilk periyodik imha süresinde imha edilir.

Veri Kategorisi Saklama Süresi Saklama Sebebi
Özlük Verileri 5510 sayılı Kanuna göre belge saklama süresi, belgenin ilgili olduğu yılı takip eden yılbaşından başlamak üzere 10 yıldır. Çalışanlar için iş akdi ve mevzuattan doğan yükümlülüklerin yerine getirilmesi
Sağlık Bilgileri İş Sağlığı ve Güvenliği hükümlerine göre, çalışanların sağlık dosyaları 15 yıl süreyle saklanır İş sağlığı ve güvenliği yükümlülüklerinin sağlanması
Mesleki Deneyim Çalışan adaylarının özgeçmiş bilgileri 1 yıl süreyle saklanır. Çalışan adaylarının başvuru süreçlerinin yürütülmesi
Kimlik ve İletişim Verileri Müşteri ve müşteri adayına ilişkin alınan kimlik ve iletişim bilgileri 10 yıl süreyle saklanır. İletişim faaliyetlerinin yürütülmesi
Hukuki İşlem İşlem tarihinden itibaren 10 yıl süreyle saklanır. Yetkili yargı / idari kurum ve merciler tarafından iletilen taleplerin cevaplandırılması
Müşteri İşlem TBK. İlgili hükümler doğrultusunda 10 yıl süreyle saklanır. Mal / hizmet satın alım ve satış süreçlerinin yürütülmesi ve müşteri memnuniyetinin sağlanması
Finans ve Muhasebe Verileri TTK. Md. 82’ye göre 10 yıl süreyle saklanır. Finans ve muhasebe işlerinin yürütülmesi
Pazarlama Verileri Elde edilmesinden İtibaren 10 yıl süreyle saklanır. Pazarlama faaliyet ve çalışmalarının yürütülmesi
Ceza Mahkumiyeti ve Güvenlik Tedbirleri İş sağlığı ve güvenliği hükümlerine göre 15 yıl süreyle saklanır. İş Sağlığı / Güvenliği ve Hukuk işlerinin takibinin yürütülmesi
İşlem Güvenliği 2 yıl süreyle saklanır. Bilgi güvenliği süreçlerinin yürütülmesi

VERİ SAHİBİ İMHA TALEPLERİ

Veri sahibi tarafından imha talebinin Musichool’a iletilmesi halinde; durum 24 saat içerisinde Veri Güvenliği Kurulu’na bildirilir. Talebin cevaplandırılması süreçlerinde Musichool Veri Sahibi İlişkileri Kılavuzu’na riayet edilir.

Musichool’a iletilen veri sahibi başvurusunun bir veri ihlali ihtimaline yönelik bulgular barındırması halinde Musichool Veri İhlali Prosedürü uygulamaya konulur. İhlal ihtimali derhal ve en geç 24 saat içerisinde Veri Güvenliği Kurulu’na bildirilir.

İHLAL ve YAPTIRIMLAR

Veri sorumlusu tarafından yayınlanmış olan kişisel verilere ilişkin politika ve prosedürlerin çalışanlar tarafından ihlal edilmesi halinde; İş Sözleşmesi, KVK Gizlilik Taahhütnamesi ve 4857 sayılı İş Kanunu gereğince çalışanın savunması alınır ve fiile uygun disiplin tedbiri tesis edilir. Fiilin aynı zamanda 5237 sayılı Türk Ceza Kanunu veya sair kanunlarca suç teşkil etmesi halinde gerekli adli mercilere bildirim yapılır.

REVİZYON

İşbu Kılavuz, Veri Güvenliği Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Kılavuz içerisinde yapılacak değişiklikler ve ne şekilde uygulamaya koyulacağı konusunda yine Veri Güvenliği Kurulu yetkilidir.

Musichool Kişisel Veri Saklama ve İmha Politikası her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Veri Güvenliği Kurulu’nun onayına sunularak güncellenir. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

İdari otorite olan KVK Kurumu tarafından yapılacak olan yasal düzenlemelere paralel olarak Musichool, Kişisel Veri Saklama ve İmha Politikası’nda değişiklik yapma hakkını saklı tutar. İşbu prosedür veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek prosedüre eklenecek, gerekli duyurular yapıldıktan sonra prosedürün ayrılmaz bir parçası olarak kabul edilecektir.