• Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşıdığından, şirket çalışanlarımız periyodik bir şekilde kişisel verilerin korunmasına ilişkin konularla alakalı olarak eğitimlere tabi tutulmaktadır.

• Kişisel veri güvenliğini ihlal etmeye yönelik saldırıların yanı sıra, kişisel verilerin hukuka aykırı olarak açıklanması ya da paylaşılması gibi konular başlıca kişisel veri güvenliği ihlallerindendir. Bu ihlaller, kullanıcıların dikkatsizlik, dalgınlık veya tecrübesizlik gibi zayıf yönlerinin kullanılması suretiyle kötü amaçlı yazılım içeren elektronik posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilerek kişisel verilerin üçüncü kişilerin erişimine açılması şeklinde de ortaya çıkabilmektedir. Bu nedenle çalışanlarımız, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitimlere tabi tutulmakta, çalışanlarımıza yönelik farkındalık çalışmaları yapılmakta ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması sağlanmaktadır.

• Şirketimiz nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmekte ve çalışanlarımızın bu konudaki rol ve sorumluluğunun farkında olması sağlanmaktadır.

• Şirketimiz tarafından, çalışanlarımızın işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmaları imzalamaları istenmekte, özellikle kişisel veri işlenmesinde görevli personelle de ayrıca gizlilik anlaşması imzalanmaktadır.

• Şirketimiz tarafından, çalışanların kişisel verilerin korunmasında uygulanan güvenlik politika ve prosedürlerine uymaması durumunda ilgilisi hakkında disiplin süreci başlatılmaktadır.

• Şirketimiz tarafından, kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgisine sunulması ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanmaktadır.

• Şirketimiz tarafından, kişisel verilerin korunmasına ilişkin Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gereken hususlar belirlenmekte ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam edilmektedir.

• Şirketimiz tarafından, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi ve ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi sağlanmaktadır.

2. Teknik Tedbirler

• Şirketimiz tarafından, kişisel veri içeren bilgi teknoloji sistemlerinin siber güvenliği güvenlik duvarı ve ağ geçidi ile sağlamakta ve bu sitemlerin düzenli bir şekilde çalışıp çalışmadığı kontrol edilmektedir.

• Şirketimiz tarafından, kişisel veri içeren sistemlere erişim sınırlandırılmaktadır. Bu kapsamda çalışanlarımıza, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Yine bu hususlara bağlı olarak, Şirketimiz erişim yetki ve kontrol matrisi oluşturmuş ve ayrı bir erişim politika ve prosedürü oluşturularak bu politika ve prosedürlerin uygulamaya alınması sağlanmıştır.

• Ayrıca Şirketimiz tarafından; kişisel veri içeren sistemlere şifre girişi deneme sayısı sınırlandırmakta, düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmakta, yönetici hesabı ve admin yetkisi sadece ihtiyaç olunan durumlarda kullanılması için açılmakta ve Şirketimizle ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimler sınırlandırılmaktadır.

• Şirketimiz, kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünleri kullanmakta ve bu ürünleri güncel tutarak gereken dosyaların düzenli olarak taranmasını sağlamaktadır.

• Şirketimiz tarafından, bilişim ağlarında hangi yazılım ve servislerin çalıştığı periyodik olarak kontrol edilmekte, bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi için periyodik olarak gerekli çalışmalar yapılmakta, tüm kullanıcıların işlem hareketleri kaydı düzenli olarak tutulmakta (log kayıtları gibi), uzman personel tarafından güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması sağlanmakta, resmi bir raporlama prosedürü oluşturularak çalışanların sistem ve servislerdeki güvenlik zafiyetleri ya da bunları kullanan tehditleri bildirmesi sağlanmaktadır.

• Ayrıca Şirketimiz tarafından; güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçları düzenli olarak kontrol edilmekte, bu sistemlerden gelen uyarılar üzerine harekete geçilmekte, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testleri yapılmakta ve ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılmaktadır.

• Şirketimiz tarafından; bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanmasına yönelik gerekli çalışmalar yapılmaktadır.

• Şirketimiz tarafından, yerleşkelerimizde kişisel verilerin yer aldığı cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamlar dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar sadece yetkili kişilerin girebileceği şekilde kartlı kilit sistemi ile kontrol altına alınmaktadır. Şirketimiz tarafından, aynı seviyedeki önlemler yerleşkemiz dışında yer alan ve Şirketimize ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınmaktadır.

• Şirketimiz tarafından, çalışanlarımızın şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için de yeterli güvenlik tedbirleri alınmaktadır.

• Şirketimiz tarafından, kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazlar ek güvenlik önlemlerinin olduğu başka bir odada muhafaza edilmekte, kullanılmadığı zaman kilit altında tutulmakta, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemler de alınmaktadır.

• Şirketimiz tarafından, kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması sağlanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir. Benzer şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir.

• Şirketimiz tarafından kişisel verilerin korunması hususunda, güvenlik gereksinimleri göz önünde bulundurularak yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi sağlanmaktadır.

• Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde Şirketimizin yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir. Şirketimiz tarafından; yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir halde tutulmakta, veri seti yedekleri ağ dışında tutulmaktadır. Tüm yedeklerin fiziksel güvenliği de sağlanmaktadır.

3. Özel Nitelikli Kişisel Verilere İlişkin Tedbirler

Kanununun 6. maddesinde; “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır. Bu çerçevede, Kurul tarafından belirlenen esaslara uygun olarak Şirketimiz tarafından özel nitelikli kişisel verilerin işlenmesinde ve korunmasında aşağıda belirtilen usul ve esaslar uygulanmaktadır.

• Şirketimiz tarafından, özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmiştir.

• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

• Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,

• Gizlilik sözleşmeleri yapılmakta,

• Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmakta,

• Periyodik olarak yetki kontrolleri gerçekleştirilmekte,

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta ve bu kapsamda, Şirketimiz tarafından kendisine tahsis edilen envanter iade alınmaktadır

• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

• Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,

• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,

• Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,

• Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta, test sonuçları kayıt altına alınmakta,

• Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta, test sonuçları kayıt altına alınmakta,

• Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi ile erişim sağlanmaktadır.

• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

• Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta,

• Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

• Özel nitelikli kişisel veriler aktarılacaksa

• Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta,

• Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmakta,

• Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya Sftp yöntemiyle veri aktarımı gerçekleştirilmekte,

• Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

V. BÖLÜM - VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

1. Aydınlatma Yükümlülüğü

Şirketimiz Kanunun 10. maddesine uygun olarak kişisel verilerin temini sırasında kişisel veri sahiplerini açık ve şeffaf bir şekilde aydınlatmaktadır. Bu aydınlatma kapsamında; varsa Şirket temsilcisinin kimliği, Kişisel Verilerin hangi amaçla işleneceği, işlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile Kişisel Veri Sahibinin sahip olduğu haklar konusunda bilgilendirme yapılmaktadır. Ayrıca Şirketimiz veri sahiplerinin aydınlatılmasına yönelik her türlü teknik ve idari tedbirleri de almaktadır.

a. Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri Kanunun 11. maddesinde belirtilen;

• Kişisel verilerinin işlenip işlenmediğini öğrenme,

• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

• Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

• 6698 sayılı Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,

• Kişisel verilerinin düzeltilmesine ve kişisel verilerinin silinme veya yok edilmesine ilişkin talep ettiği işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini talep etme, haklarına sahiptir.

b. Kişisel Veri Sahiplerinin Haklarını Kullanmaları

Kişisel veri sahipleri; yukarıda belirtilen haklarını (Bölüm 5.1.a) kullanmak için kimlik ve iletişim bilgileriyle kullanmak istediği hakkına yönelik açıklamaları içeren ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğinde belirtilen şartları taşıyan talebini Çamlıca Mahallesi Anadolu Bulvarı No.16/4 1-2-3 Yenimahalle / Ankara / Türkiye adresine iadeli taahhütlü mektup yoluyla, info@fatihecza.com.tr e-posta adresine , fatihecza@hs01.kep.tr kayıtlı elektronik posta adresine veya Kişisel Verileri Koruma Kurulunun belirlediği diğer yöntemlerle Şirketimize iletebilir.

c. Başvurulara Cevap Verme

Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları yasal mevzuata uygun olarak zamanında ve gerekli yeterlilikte sonuçlandırmak üzere tüm idari ve teknik tedbirleri almaktadır.

Şirketimiz, başvuruların değerlendirilmesi sırasında öncelikle talepte bulunan kişinin gerçek hak sahibi olup olmadığını tespit etmekte ve gerek görülen durumlarda talebin daha iyi anlaşılabilmesi için detaylı ve ek bilgi isteyebilmektedir.

Şirketimiz tarafından veri sahibi başvurularına yanıtlar, yazılı olarak veya elektronik ortamda veri sahiplerine bildirilmektedir. Başvurunun reddedilmesi halinde ret nedenleri gerekçeli olarak veri sahibine açıklanmaktadır.

Şirketimiz; kişisel veri sahibinin haklarına ilişkin talebini öngörülen usule uygun olarak iletmesi halinde, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde sonuçlandırmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, şirketimiz tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. 

d. Kişisel Veri Sahibinin Şikayette Bulunma Hakkı

Şirketimiz tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunma hakkına sahiptir.

VI. BÖLÜM – KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Kanunun 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler, resen veya veri sahibinin talebi üzerine Şirketimiz tarafından silinir, yok edilir veya anonim hâle getirilir.

1. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır.

a. Kişisel Verilerin Silinmesi Süreci

Kişisel verilerin silinmesi işleminde Şirketimiz tarafından izlenen süreç aşağıda açıklanmıştır.

• Silme işlemine konu teşkil edecek kişisel veriler belirlenmekte,

• Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcılar tespit edilmekte,

• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri tespit edilmekte,

• İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri kapatılmakta ve ortadan kaldırılmaktadır.

b. Kişisel Verilerin Silinme Yöntemleri

Şirketimiz tarafından, kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına en uygun yöntemle silinmektedir. Şirketimizin kişisel verilerin silinmesinde uyguladığı yöntemler aşağıda açıklanmıştır.

• Şirketimiz tarafından, kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.

• Şirketimiz tarafından, merkezi sunucuda yer alan ofis dosyalarında bulunan kişisel veriler, dosyanın işletim sistemindeki silme komutu ile veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması suretiyle silinmektedir.

• Şirketimiz tarafından, taşınabilir medyada bulunan ve flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanmakta ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.

• Şirketimiz tarafında, veri tabanlarında bulunan kişisel veriler, bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmektedir.

2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

a. Kişisel Verilerin Bulunduğu Sistemlerin Yok Edilme Yöntemleri

Şirketimiz tarafından, kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilmekte ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmektedir.

• De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

• Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanmaktadır.

• Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.

• Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle bu cihazların yok edilmesi sağlanmaktadır.

• Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) ara yüzüne sahip olanları, destekleniyorsa “block erase” komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da yukarıda belirtilen uygun yöntemlerin bir ya da birkaçını kullanmak suretiyle yok edilmektedir.

• Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.

• Manyetik disk gibi üniteler: Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.

• Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Yukarıda belirtilen uygun yöntemlerin bir ya da birkaçını kullanmak suretiyle yok edilmektedir.

• Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmektedir.

• Kağıt ve Mikrofiş Ortamları: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Şirketimiz tarafından bu işlem gerçekleştirilirken kişisel veri kayıt ortamı, kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünmektedir.

3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Şirketimiz, bir kişisel verinin silinmesi ya da yok edilmesi yerine anonim hale getirilmesine karar verirken;

• Anonim hale getirilmiş veri kümesinin bir başka veri kümesiyle birleştirilerek anonimliğin bozulamaması,

• Bir ya da birden fazla değerin bir kaydı tekil hale getirebilecek şekilde anlamlı bir bütün oluşturamaması,

• Anonim hale getirilmiş veri kümesindeki değerlerin birleşip bir varsayım veya sonuç üretebilir hale gelmemesi.

şartlarının bulunmasına bakmaktadır. Bu riskler sebebiyle Şirketimiz, anonim hale getirdikleri veri kümeleri üzerinde bu maddede sıralanan özellikler değiştikçe kontroller yapmakta ve anonimliğin korunmasını sağlamaktadır.

Şirketimiz, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. Şirketimiz tarafından, kişisel verilerin anonim hale getirilmesi işlemi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıda açıklanan yöntemlerle gerçekleştirilmektedir.

a. Kişisel Verilerin Anonim Hale Getirme Yöntemleri

Anonim hale getirmedeki amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir. Şirketimiz aşağıda açıklanan yöntemleri kullanarak kişisel verileri anonim hale getirmektedir.

• Değişkenleri Çıkartma: Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Şirketimiz tarafından bu yöntem, değişkenin yüksek dereceli bir tanımlayıcı olması, daha uygun bir çözümün var olmaması, değişkenin kamuya ifşa edilemeyecek kadar hassas bir veri olması veya analitik amaçlara hizmet etmiyor olması gibi sebeplerle kullanılmaktadır.

• Kayıtları Çıkartma: Bu yöntemde veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür.

• Bölgesel Gizleme: Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer Şirketimiz tarafından “bilinmiyor” olarak değiştirilmektedir.

• Genelleştirme: İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Şirketimiz tarafından bu yöntem, raporlar üretirken ve toplam rakamlar üzerinden yürütülen konularda yaygın olarak kullanılmaktadır. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri göstermektedir.

• Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlama yöntemi belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir. Şirketimiz tarafından bu yöntem genellikle belli bir değişkendeki değerlerin düşük veya yüksek olanlarının bir araya toplanması ve bu değerlere yeni bir tanımlama yapılması suretiyle kullanılmaktadır.

• Global Kodlama: Global kodlama yöntemi, alt ve üst sınır kodlamanın uygulanması mümkün olmayan, sayısal değerler içermeyen veya numerik olarak sıralanamayan değerlere sahip veri kümelerinde kullanılan bir gruplama yöntemidir. Genelde belli değerlerin öbeklenerek tahmin ve varsayımlar yürütmeyi kolaylaştırdığı hallerde kullanılır. Şirketimiz tarafından bu yöntem, seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtların bu yeni tanım ile değiştirilmesi suretiyle kullanılmaktadır.

• Mikro Birleştirme: Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Böylece o değişkenin tüm veri kümesi için geçerli olan ortalama değeri de değişmeyecektir.

• Veri Değiş Tokuşu: Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Şirketimiz tarafından bu yöntem, temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanına dönüştürülmesidir.

• Gürültü Ekleme: Şirketimiz bu yöntemle, seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapmaktadır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır.

• K-anonimlik: Bir veri kümesindeki belirli alanlarla, birden fazla kişinin tanımlanmasını sağlayarak, belli kombinasyonlarda tekil özellikler gösteren kişilere özgü bilgilerin açığa çıkmasını engellemek için geliştirilmiştir. Şirketimiz tarafından kullanılan bu yöntemle, bir veri kümesindeki değişkenlerden bazılarının bir araya getirilmesiyle oluşturulan kombinasyonlara ait birden fazla kayıt bulunması halinde, bu kombinasyona denk gelen kişilerin kimliklerinin saptanabilmesi olasılığı azaltılmaktadır.

• L-çeşitlilik: Bu yöntem aynı değişken kombinasyonlarına denk gelen hassas değişkenlerin oluşturduğu çeşitliliği dikkate almaktadır. Şirketimiz tarafından bu yöntem kullanılarak, her bir grubun içinde belli bir çeşitlilik yaratılmasına dikkat edilmesi suretiyle maskeleme yöntemi kullanılmaktadır.

• T-yakınlık: Kişisel verilerin, değerlerin kendi içlerinde birbirlerine yakınlık derecelerinin hesaplanması ve veri kümesinin bu yakınlık derecelerine göre alt sınıflara ayrılarak anonim hale getirilmesi sürecidir.

Şirketimiz, yukarıdaki yöntemlerden hangilerinin uygulanacağına temin edilen kişisel verinin niteliğine bakarak karar vermektedir. Şirketimiz anonim hale getirilen kişisel veriyi aktardığı diğer kurum ve kuruluşların bünyesinde olduğu bilinen ya da kamuya açık bilgilerin kullanılması ile söz konusu verinin yeniden bir kişiyi tanımlar nitelikte olup olmadığını, yapacağı sözleşmelerle ve risk analizleriyle kontrol etmektedir.

VII. BÖLÜM – KANUN VE POLİTİKANIN UYGULAMA KAPSAMI

Kanunun 28. maddesine göre, aşağıda belirtilen haller hem Kanunun hem de işbu Politikanın uygulama kapsamı dışındadır.

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanunun 28/2 maddesi gereğince; aşağıda sıralanan hallerde Kişisel Veri Sahipleri zararın giderilmesini talep etme hakkı hariç olmak üzere, işbu Politikada sayılan haklarını kullanamayacaklardır.

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.