KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. AMAÇ
Çare Derneği Kişisel Veri Saklama ve İmha Politikası’nın amacı, ÇARE YARDIMLAŞMA VE KALKINMA DERNEĞİ (Çare Derneği)’nın mevcut ve potansiyel destekçileri, gönüllüleri, iş ortakları, ziyaretçileri, dernek çalışanları, çalışan adayları, işbirliği içinde bulunulan kurum çalışanları ile ilgili üçüncü kişilere ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi prensipleri ve veri imhası standartlarının Anayasa’nın 20’nci maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu 30224 sayı ve 28.10.2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile bu Kanun’un ikincil düzenlemeleri başta olmak üzere ilgili mevzuatın belirttiği usul ve esaslara göre belirlenmesidir.
2. KAPSAM
Politika’daki hüküm ve prensipler, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikte olan ve fiziksel ve dijital ortamlarda bulunan her türlü bilgi ve belgeyi ve bunlarla ilgili alınan silinmesi, yok edilmesi veya anonim hale getirilmesi prensiplerini ve veri imhası standartlarını kapsar.
3. ÇARE DERNEĞİ KAYIT ORTAMLARI
Çare Derneği, Kişisel Verileri fiziksel evrak, dijital evrak ve veri tabanı ortamlarında kayıt altına almaktadır.
4. HUKUKİ VE TEKNİK TERİMLER
Aydınlatma Beyanı: 6698 Sayılı KVK Kanununun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu bilgilendirme faaliyetleri ve/veya dokümanları.
İlgili Kişi Grubu: Kişisel Verileri işlenen kişi türü (çalışan, gönüllü, ziyaretçi vb)
İlgili Kişi: Kişisel verileri işlenen veri sahibi gerçek kişi, Kişisel Veri Öznesi
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularımız, kişisel verilerin işlenme süreçlerini ve onların silme, yok etme ve anonim hale getirme işlemlerini belirleyen politikalarımızı oluştururlar.
Kişisel Veri (KV): Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Veri Envanteri (KVE): Kurumumuzda işlenen (tutulan) kişisel verileri ve ilişkili bilgilerin sınıflandırıldığı liste.
Kişisel Veri Koruma (KVK): Kişisel veri koruma politikalarımız ve uygulamalarımız.
KVK İhlali: İlgili kişilerin zarar görmesi olsun veya olmasın, Çare Derneği'nin veri sorumlusu olduğu, içinde kişisel veri bulunan bilgi varlıklarının, Çare Derneği'nin kontrolü dışında çıkması ile 6698 Sayılı KVK Kanunu ve/veya Çare Derneği prosedürlerine aykırı durumları ifade eder.
Kişisel Veri İşleme Sözleşmesi (KVİS): Veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; bu iş görme borcu karşılığında veri sorumlusunun bedel ödemeyi üstlendiği sözleşme.
Kişisel Verilerin Korunması Kanunu (KVKK): Türkiye'deki kişisel verilerin korunması ile ilgili yasal düzenlemeler.
Kişisel Verilerin Korunması Sistemi (KVKS): Kişisel verilerin korunmasına yönelik uygulamalarımız ve sistemlerimiz.
Özel Nitelikli Kişisel Veri (ÖNKV): Özel koruma gerektiren kişisel veriler.
Periyodik İmha: Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda belirtilen ve tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
Veri İşleyen: 6698 sayılı Kanunun 3-ğ. maddesine göre, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemimiz.
Veri Sorumlusu: Kişisel verileri işleyen kurumumuz, Çare Derneği.
5. Kişisel Verilerin İmhası
Kişisel verilerin imhası, silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin imkânsız hale gelmesidir. Çare Derneği, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
a. Kişisel Verilerin Silinmesi
Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi, söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Çare Derneği, kişisel verileri sildiği durumlarda, ilgili kullanıcılar için verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir.
b. Kişisel Verilerin Yok Edilmesi
Yok etme işlemi, Çare Derneği'nin verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılabilecektir. Çare Derneği, bu durumda ilgili kişisel verilerin hiç kimse için erişilememesini, tekrar kullanılamamasını ve geri getirilememesini sağlayacaktır. Yok etme işlemleri sırasında Çare Derneği çalışanları ve ilgili departmanlar KVKS Komisyonu yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında Çare Derneği, KVKS Komisyonu’na gerekli her türlü teknik ve idari tedbiri alacaktır.
c. Kişisel Verilerin Anonimleştirilmesi
Anonim hale getirme işlemi, Çare Derneği'nin kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmesi KVKS Komisyonu’nun görevidir. KVKS Komisyonu gerekli durumlarda veri sahibi ilgili birimden destek alabilir fakat her hâlükârda ilgili birimi bilgilendirme yükümlülüğü vardır. Kişisel verilerin anonim hale getirilmesi sırasında Çare Derneği, işbu Politika kapsamında belirtilen yöntemleri kullanabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı durumlarda KVKS Komisyonu’na danışılmaktadır.
6. UYUM
6.1. Kişisel Veri İşleme Envanteri
Çare Derneği, işbu envanter içerisinde, iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, kullandığı veri kategorilerini, verileri aktardığı alıcı grubunu ve veri konusu kişi grubunu ilişkilendirmiş ve detaylandırmıştır. Çare Derneği, Politika içerisindeki prensipleri dâhilinde bu envanteri güncel tutacağını taahhüt eder.
6.2. Azami Saklama Süreleri ve Kişisel Veri Saklama Süre Tablosu
Çare Derneği, bu tablo içerisinde, iş süreçlerine bağlı olarak işlemekte olduğu kişisel verileri kategorilerini ve veri kategorilerinin yasal gereksinimler ve iş amaçları doğrultusunda ne kadar süre saklanması gerektiğini ilişkilendirmiş ve detaylandırmıştır. Çare Derneği, Politika içerisindeki prensipleri dâhilinde bu tabloyu güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine uygun verileri işleyeceğini taahhüt eder.
Çare Derneği, tabloda yer alan kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken Veri Sorumluları Sicili Hakkında Yönetmeliği ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkındaki Yönetmeliği ile ilgili yönetmeliklerin aşağıda belirtilen usul ve esaslarını dikkate alarak belirler.
a) İlgili veri kategorisiyle alakalı olarak işleme amacıyla Çare Derneği’nın faaliyet gösterdiği, savaş ve savaşın etkisinin sürdüğü bölgelerde, afet bölgelerinde, yoksulluk olan ülke ve bölgelerde insani yardım faaliyetleri yürütme dâhil, Çare Derneği’nın dahil olduğu tüm faaliyet alanlarında genel teamül olarak ne kadar süre gerekli olduğu,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle kurulan hukuki ilişkinin süresi, c) İlgili veri kategorisinin işlenme amacına bağlı olarak Çare Derneği’nin elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak süresi, ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken süresi, d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına uygun olup olmadığı, e) Çare Derneği’nin hukuki yükümlülük gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar süre saklamak zorunda olduğu, f) Çare Derneği’nin ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.
Çare Derneği, kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken ve uygularken, söz konusu sürelerin Kişisel Veri İşleme Envanterinde yer alan bilgilerle uyumunu ve azami sürelerin aşılıp aşılmadığını takip eder.
Kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilerek; ilgili kişinin başvuru üzerine veya Çare Derneği tarafından söz konusu kişisel veriler resen silinir, yok edilir veya anonim hale getirilir:
a) Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, b) Taraflar arasındaki sözleşmenin hiç kurulmamış olması, geçerli olmaması, kendiliğinden sona ermesi, feshi veya dönülmesi, c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması, ç) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması, d) Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması, e) İlgili kişinin, kanunun 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, f) Çare Derneği’nin, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması, g) Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, ğ) Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
6.3. Kişisel Verilerin Güvenli Saklanmasına ve İmhasına İlişkin Alınan Önlemler
Çare Derneği, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin engellenmesi, kişisel verilerin hukuka uygun olarak imhası için teknik ve idari tedbirler almakla yükümlüdür. Bu tedbirlerin uygulanması ve ilgili kişilere duyurulmasından dernek sorumludur. Alınan teknik ve idari tedbirler şu şekildedir:
6.4. Periyodik İmha
Çare Derneği, Kişisel Veri Saklama Süre Tablosu ve Kişisel Veri İşleme Envanteri'ne uygun olarak, dijital ve fiziksel ortamlarda sakladığı kişisel verileri, altı (6) ayda bir periyodik olarak kontrol edeceğini ve işleme amaçları sona erdiğinde bu verileri belirli aralıklarla otomatik olarak sileceğini, yok edeceğini veya anonim hale getireceğini taahhüt eder.
7. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER
Çare Derneği, aşağıdaki gereksinimlerini karşılamak için kişisel verileri kanuna uygun olarak işlemektedir:
8. KV İMHA ORGANİZASYONU (UNVANLAR, BİRİMLER VE GÖREV TANIMLARI)
Kişisel veri imha süreçlerinin yönetimi KVKS Komisyonu'nda bulunmaktadır. KVKS Komisyonu ve diğer tüm organizasyon yapılandırmasını belirleyen ayrı bir prosedür mevcuttur. Genel organizasyonda, özellikle veri imha konusundaki rol ve sorumluluklar, bu prosedürler ile belirlenmiştir.
9. SAKLAMA VE İMHA SÜRELERİNİ GÖSTEREN TABLO
Saklama süreleri, Kişisel Veri Envanteri ile belirlenmiştir.
10. POLİTİKA REVİZYONLARI
Bu Politika'nın revizyonları, KVKS-P-02_KİŞİSEL_VERİ_İMHA_PROSEDÜRÜ ile birlikte yönetilir ve kurum sistemlerinde güncel tutulur.
© 2022 Çare Yardımlaşma ve Kalkınma Derneği. Tüm Hakları saklıdır.
KVKK Aydınlatma Metni Gizlilik PolitikasıDil ve Kur Tercihlerinizi istedğiniz gibi yönetin