KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. AMAÇ

Çare Derneği Kişisel Veri Saklama ve İmha Politikası’nın amacı, ÇARE YARDIMLAŞMA VE KALKINMA DERNEĞİ (Çare Derneği)’nın mevcut ve potansiyel destekçileri, gönüllüleri, iş ortakları, ziyaretçileri, dernek çalışanları, çalışan adayları, işbirliği içinde bulunulan kurum çalışanları ile ilgili üçüncü kişilere ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi prensipleri ve veri imhası standartlarının Anayasa’nın 20’nci maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu 30224 sayı ve 28.10.2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile bu Kanun’un ikincil düzenlemeleri başta olmak üzere ilgili mevzuatın belirttiği usul ve esaslara göre belirlenmesidir.

2. KAPSAM

Politika’daki hüküm ve prensipler, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikte olan ve fiziksel ve dijital ortamlarda bulunan her türlü bilgi ve belgeyi ve bunlarla ilgili alınan silinmesi, yok edilmesi veya anonim hale getirilmesi prensiplerini ve veri imhası standartlarını kapsar.

3. ÇARE DERNEĞİ KAYIT ORTAMLARI

Çare Derneği, Kişisel Verileri fiziksel evrak, dijital evrak ve veri tabanı ortamlarında kayıt altına almaktadır.

4. HUKUKİ VE TEKNİK TERİMLER

Aydınlatma Beyanı: 6698 Sayılı KVK Kanununun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu bilgilendirme faaliyetleri ve/veya dokümanları.

İlgili Kişi Grubu: Kişisel Verileri işlenen kişi türü (çalışan, gönüllü, ziyaretçi vb)

İlgili Kişi: Kişisel verileri işlenen veri sahibi gerçek kişi, Kişisel Veri Öznesi

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularımız, kişisel verilerin işlenme süreçlerini ve onların silme, yok etme ve anonim hale getirme işlemlerini belirleyen politikalarımızı oluştururlar.

Kişisel Veri (KV): Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişisel Veri Envanteri (KVE): Kurumumuzda işlenen (tutulan) kişisel verileri ve ilişkili bilgilerin sınıflandırıldığı liste.

Kişisel Veri Koruma (KVK): Kişisel veri koruma politikalarımız ve uygulamalarımız.

KVK İhlali: İlgili kişilerin zarar görmesi olsun veya olmasın, Çare Derneği'nin veri sorumlusu olduğu, içinde kişisel veri bulunan bilgi varlıklarının, Çare Derneği'nin kontrolü dışında çıkması ile 6698 Sayılı KVK Kanunu ve/veya Çare Derneği prosedürlerine aykırı durumları ifade eder.

Kişisel Veri İşleme Sözleşmesi (KVİS): Veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; bu iş görme borcu karşılığında veri sorumlusunun bedel ödemeyi üstlendiği sözleşme.

Kişisel Verilerin Korunması Kanunu (KVKK): Türkiye'deki kişisel verilerin korunması ile ilgili yasal düzenlemeler.

Kişisel Verilerin Korunması Sistemi (KVKS): Kişisel verilerin korunmasına yönelik uygulamalarımız ve sistemlerimiz.

Özel Nitelikli Kişisel Veri (ÖNKV): Özel koruma gerektiren kişisel veriler.

Periyodik İmha: Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda belirtilen ve tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

Veri İşleyen: 6698 sayılı Kanunun 3-ğ. maddesine göre, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemimiz.

Veri Sorumlusu: Kişisel verileri işleyen kurumumuz, Çare Derneği.

5. Kişisel Verilerin İmhası

Kişisel verilerin imhası, silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin imkânsız hale gelmesidir. Çare Derneği, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

a. Kişisel Verilerin Silinmesi

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi, söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Çare Derneği, kişisel verileri sildiği durumlarda, ilgili kullanıcılar için verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir.

b. Kişisel Verilerin Yok Edilmesi

Yok etme işlemi, Çare Derneği'nin verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılabilecektir. Çare Derneği, bu durumda ilgili kişisel verilerin hiç kimse için erişilememesini, tekrar kullanılamamasını ve geri getirilememesini sağlayacaktır. Yok etme işlemleri sırasında Çare Derneği çalışanları ve ilgili departmanlar KVKS Komisyonu yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında Çare Derneği, KVKS Komisyonu’na gerekli her türlü teknik ve idari tedbiri alacaktır.

c. Kişisel Verilerin Anonimleştirilmesi

Anonim hale getirme işlemi, Çare Derneği'nin kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmesi KVKS Komisyonu’nun görevidir. KVKS Komisyonu gerekli durumlarda veri sahibi ilgili birimden destek alabilir fakat her hâlükârda ilgili birimi bilgilendirme yükümlülüğü vardır. Kişisel verilerin anonim hale getirilmesi sırasında Çare Derneği, işbu Politika kapsamında belirtilen yöntemleri kullanabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı durumlarda KVKS Komisyonu’na danışılmaktadır.

6. UYUM

6.1. Kişisel Veri İşleme Envanteri

Çare Derneği, işbu envanter içerisinde, iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, kullandığı veri kategorilerini, verileri aktardığı alıcı grubunu ve veri konusu kişi grubunu ilişkilendirmiş ve detaylandırmıştır. Çare Derneği, Politika içerisindeki prensipleri dâhilinde bu envanteri güncel tutacağını taahhüt eder.

6.2. Azami Saklama Süreleri ve Kişisel Veri Saklama Süre Tablosu

Çare Derneği, bu tablo içerisinde, iş süreçlerine bağlı olarak işlemekte olduğu kişisel verileri kategorilerini ve veri kategorilerinin yasal gereksinimler ve iş amaçları doğrultusunda ne kadar süre saklanması gerektiğini ilişkilendirmiş ve detaylandırmıştır. Çare Derneği, Politika içerisindeki prensipleri dâhilinde bu tabloyu güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine uygun verileri işleyeceğini taahhüt eder.

Çare Derneği, tabloda yer alan kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken Veri Sorumluları Sicili Hakkında Yönetmeliği ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkındaki Yönetmeliği ile ilgili yönetmeliklerin aşağıda belirtilen usul ve esaslarını dikkate alarak belirler.

a) İlgili veri kategorisiyle alakalı olarak işleme amacıyla Çare Derneği’nın faaliyet gösterdiği, savaş ve savaşın etkisinin sürdüğü bölgelerde, afet bölgelerinde, yoksulluk olan ülke ve bölgelerde insani yardım faaliyetleri yürütme dâhil, Çare Derneği’nın dahil olduğu tüm faaliyet alanlarında genel teamül olarak ne kadar süre gerekli olduğu,

b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle kurulan hukuki ilişkinin süresi, c) İlgili veri kategorisinin işlenme amacına bağlı olarak Çare Derneği’nin elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak süresi, ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken süresi, d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına uygun olup olmadığı, e) Çare Derneği’nin hukuki yükümlülük gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar süre saklamak zorunda olduğu, f) Çare Derneği’nin ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.

Çare Derneği, kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken ve uygularken, söz konusu sürelerin Kişisel Veri İşleme Envanterinde yer alan bilgilerle uyumunu ve azami sürelerin aşılıp aşılmadığını takip eder.

Kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilerek; ilgili kişinin başvuru üzerine veya Çare Derneği tarafından söz konusu kişisel veriler resen silinir, yok edilir veya anonim hale getirilir:

a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, geçerli olmaması, kendiliğinden sona ermesi, feshi veya dönülmesi, c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması, ç) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması, d) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması, e) İlgili kişinin, kanunun 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, f) Çare Derneği’nin, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması, g) Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, ğ) Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

6.3. Kişisel Verilerin Güvenli Saklanmasına ve İmhasına İlişkin Alınan Önlemler

Çare Derneği, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin engellenmesi, kişisel verilerin hukuka uygun olarak imhası için teknik ve idari tedbirler almakla yükümlüdür. Bu tedbirlerin uygulanması ve ilgili kişilere duyurulmasından dernek sorumludur. Alınan teknik ve idari tedbirler şu şekildedir:

• Ağ ve uygulama güvenliği sağlanmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Bilgi teknolojileri sistemlerine tedarik, geliştirme ve bakım süreçlerinde güvenlik önlemleri uygulanmaktadır.
• Çalışanlara yönelik veri güvenliği hükümlerini içeren disiplin düzenlemeleri bulunmaktadır.
• Çalışanlara düzenli aralıklarla veri güvenliği eğitimleri ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar oluşturulmuş ve uygulamaya konulmuştur.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Gizlilik taahhütnameleri alınmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel antivirüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümlerini içermektedir.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmaktadır ve ilgili evraklar gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş ve çıkışlarla ilgili güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı korunması sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veri miktarı olabildiğince azaltılmaktadır.
• Kişisel veriler yedeklenmektedir ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler gerçekleştirilmekte ve yaptırılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve kurumsal posta hesabı kullanılarak gönderilmektedir.
• Özel nitelikli kişisel veriler için güncel şifreleme /kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.
• Şifreleme yapılmaktadır.
• Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.

6.4. Periyodik İmha

Çare Derneği, Kişisel Veri Saklama Süre Tablosu ve Kişisel Veri İşleme Envanteri'ne uygun olarak, dijital ve fiziksel ortamlarda sakladığı kişisel verileri, altı (6) ayda bir periyodik olarak kontrol edeceğini ve işleme amaçları sona erdiğinde bu verileri belirli aralıklarla otomatik olarak sileceğini, yok edeceğini veya anonim hale getireceğini taahhüt eder.

7. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER

Çare Derneği, aşağıdaki gereksinimlerini karşılamak için kişisel verileri kanuna uygun olarak işlemektedir:

• Ana faaliyet alanı olan yardım ve kalkınma faaliyetlerinin yürütülmesi
• Acil durum yönetim süreçlerinin yürütülmesi
• Bilgi güvenliği süreçlerinin yürütülmesi
• Çalışan adayı / Stajyer / Öğrenci seçim ve yerleştirme süreçlerinin yürütülmesi
• Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi
• Çalışanlar için iş akdi ve mevzuata bağlı yükümlülüklerin yerine getirilmesi
• Yeni haklar ve faydaların sağlanması için gerekli süreçlerin yürütülmesi
• Denetim ve etik uygulamaların yürütülmesi
• Eğitim faaliyetlerinin yürütülmesi
• Erişim yetkilerinin yönetimi
• Faaliyetlerin mevzuata uygunluğunun sağlanması
• Finans ve muhasebe işlemlerinin yürütülmesi
• Fiziksel alanların güvenliğinin sağlanması
• Görevlendirme süreçlerinin yürütülmesi
• Hukuki işlerin takip ve yürütülmesi
• İç denetim, soruşturma ve istihbarat faaliyetlerinin yürütülmesi
• İletişim faaliyetlerinin yürütülmesi
• Mal, hizmet ve operasyon süreçlerinin yürütülmesi
• Organizasyon ve etkinlik yönetimi
• Performans değerlendirme süreçlerinin yürütülmesi
• Risk yönetimi süreçlerinin yürütülmesi
• Saklama ve arşivleme faaliyetlerinin yürütülmesi
• Sosyal sorumluluk ve sivil toplum faaliyetlerinin yürütülmesi
• Sözleşme süreçlerinin yürütülmesi
• Talep ve şikayetlerin takibi
• Taşınabilir mal ve kaynakların güvenliğinin sağlanması
• Tedarik zinciri yönetim süreçlerinin yürütülmesi
• Ücret politikasının yürütülmesi
• Veri sorumlusu operasyonlarının güvenliğinin sağlanması
• Yabancı personel çalışma ve oturma izni işlemleri
• Yetenek ve kariyer geliştirme faaliyetlerinin yürütülmesi
• Yetkili kişi ve kurumlara bilgi verilmesi
• Yönetim faaliyetlerinin yürütülmesi
• Ziyaretçi kayıtlarının oluşturulması ve takibi

8. KV İMHA ORGANİZASYONU (UNVANLAR, BİRİMLER VE GÖREV TANIMLARI)

Kişisel veri imha süreçlerinin yönetimi KVKS Komisyonu'nda bulunmaktadır. KVKS Komisyonu ve diğer tüm organizasyon yapılandırmasını belirleyen ayrı bir prosedür mevcuttur. Genel organizasyonda, özellikle veri imha konusundaki rol ve sorumluluklar, bu prosedürler ile belirlenmiştir.

9. SAKLAMA VE İMHA SÜRELERİNİ GÖSTEREN TABLO

Saklama süreleri, Kişisel Veri Envanteri ile belirlenmiştir.

10. POLİTİKA REVİZYONLARI

Bu Politika'nın revizyonları, KVKS-P-02_KİŞİSEL_VERİ_İMHA_PROSEDÜRÜ ile birlikte yönetilir ve kurum sistemlerinde güncel tutulur.

Sözleşme için tıklayınız.