KVKK devamı...

3.1.7 Kişisel Verilerin İmhası

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş tarafından ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir. Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Türk Ceza Kanunu’nun 138. maddesinde, KVK Kanunu’nun 7. maddesinde ve Kurul tarafından çıkarılan “30224 Sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş nin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

3.1.7.1 Kişisel Verilerin Silinmesi ve Yok Edilmesi

Kişisel Veriler aşağıdaki tabloda tanımlı yöntemlere göre silinir /yokedilir.

Veri Ortamı

Silme Yöntemi

Silme Yetkilisi

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Bilgi İşlem Birimi

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi tarafından kâğıt imha makinelerinde geri döndürülemeyecek şekilde yok edilir.

Birim Yöneticisi

 

3.1.7.2 Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

3.1.7.3 Kişisel Verilerin Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesine Yönelik Kayıtlar

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

3.1.8 Kişisel Verilerin Korunması

UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

3.1.8.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Tedbirler

UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

3.1.8.1.1 Teknik Tedbirler

UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş İnşaat tarafından alına teknik tedbirler:

  • UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri, kurulan teknik sistemlerle denetlenmektedir.
  • Teknik konularda departmanlar kurulmuş olup bu konuda bilgili personel istihdam edilmektedir.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
  • Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için yedekleme programları kullanılmaktadır.
  • Bilgi sistemlerimizde güvenlik duvarları, yedekleme sunucu sistemleri ve güncel anti-virüs yazılımları kullanılmaktadır.
  • Sistemlerimize, programlarımıza, sunucularımıza yapılan tüm erişimler, saldırı algılama durumunda bloke edilmektedir.
  • Şirketimizin diğer kritik birimleri gibi bilgi sistemleri sunucu merkezleri de görüntü kayıt sistemleri ile izlenmektedir.
  • Sunucu merkezlerinin sıcaklık, nem gibi ortam verileri rutin olarak izlenmektedir.
  • Çalışanlarla veri güvenliği ihlallerini engellemek için gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Zorunlu ve gerekli işlemlerde düzenli olarak log tutulmaktadır,

3.1.8.1.2 İdari Tedbirler

  • UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş nin yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
  • KVKK kapsamında hazırlanması gereken belgeler bu envanterdeki riskler göz önüne alınarak hazırlanmıştır.
  • UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
  • İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir.
  • UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş ,çalışanların işe alınma süreçlerinde imzalanacak İş Sözleşmelerinde gizliliğe ve veri güvenliğine ilişkin hükümler belirlemiştir ve çalışanlardan bu hükümlere uymasını istemektedir.
  • Çalışanlar, kişisel verilerin korunması hukuku ve bu hukuka uygun olarak gerekli önlemlerin alınması konusunda düzenli olarak bilgilendirilmekte ve eğitilmektedir.
  • Çalışanların rol ve sorumlulukları bu kapsamda gözden geçirilmiş ve görev tanımlarına kişisel verilerin işlenmesi, saklanması ve korunmasına yönelik sorumluluklar tanımlanmıştır.
  • Çalışanların KVKK’ya aykırı hareket etmesi durumunda Disiplin Prosedürü işletilmektedir.
  • UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş iş ortakları kişisel verilerin korunması hukuku ve bu hukuka uygun olarak gerekli önlemlerin alınması konusunda bilgilendirilmektedir.
  • Sözleşmeler KVKK açısından incelenmiş ve gerekli görülen değişiklikler yapılmıştır.

3.1.9 Kişisel Veri Sahiplerinin Hakları; Bu Hakların Kullanılması

UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir. Kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

KVK Kanunun 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak, kişisel veri envanterinin eki mahiyetindeki Kişisel Veri Başvuru ve Yanıt Prosedürü ve kanunda belirtilen başvuru koşullarını taşımayan başvurular için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır. UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş bünyesinde bu prosedürün uygulanmasını sağlayacak sistemsel altyapı ve organizasyonel yapı oluşturulmuştur.

Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait kişisel verilerin tüm işlenme süreçleri, amaçları ve aktarım bilgileri de dahil kanunun ilgili maddesindeki tüm hakları talep edebileceklerdir.

3.1.9.1 Veri Sahibinin Hakları

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

3.1.9.2 Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, bu konularda madde 3.1.9.1’de sayılan haklarını ileri süremezler:

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 3.1.9.1’de sayılan diğer haklarını ileri süremezler:

  • Kişisel veri işlemenin, suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

3.1.9.3 Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri bu Politika’da belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak tarafımıza ücretsiz olarak iletebileceklerdir.

Bu konuda kapsamlı düzenleme İlgili Kişi Başvuru Formu aydınlatma metni ve içerisinde yapılmıştır. Şöyle ki, www.ubm.com.tr adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya yazılı olarak iadeli taahhütlü posta aracılığı ile Kazım Özalp Mah. Reşit Galip Cad. No:94 06680 Çankaya/Ankara adresine iletilmesi veya şahsen başvuru, www.ubm.com.tr adresinde bulunan formun doldurulması suretiyle başvuru yapılması.

Yukarıda sayılan başvurunun geçerli bir başvuru olarak kabul edilebilmesi için, “30356 Sayılı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca başvuruda, ilgili kişinin;

  • Ad, soyad ve başvuru yazılı ise imza,
  • Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
  • Tebligata esas yerleşim yeri veya iş yeri adresi,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
  • Talep konusu,

Bilgilerini belirtmesi zorunludur. Aksi halde başvuru geçerli bir başvuru olarak değerlendirilmeyecektir. Başvuru formu doldurmadan yapılacak başvurularda burada sayılan hususların eksiksiz olarak UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş ye iletilmesi gerekmektedir.

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Kişel Veri Sahiplerinin başvuruları Kişisel Veri Başvuru ve Yanıt Prosedürü’ne uygun olarak değerlendirilir.

3.1.10 Kişisel Verilerin İşlenmesi ve Korunmasına Yönelik Koordinasyon

UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş tarafından KVKK düzenlemelerine uygun hareket edilmesi ve Kişisel Verilerin Korunması ve İşlenmesi Politikası'nın yürürlüğünü sağlamak için gerekli yönetim yapısı kurulmuştur. UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere Kişisel Verileri Korunması Komitesi görevlendirilmiştir.

Bu Komite’nin kişisel verilerin korunması ile ilgili görevleri aşağıda belirtilmektedir:

  • Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve üst yönetiminin onayına sunmak,
  • Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanmasının ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması hususlarını üst yönetimin onayına sunmak,
  • KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve üst yönetimin onayına sunmak, uygulanmasını gözetmek ve koordinasyonunu sağlamak,
  • Kişisel verilerin korunması ve işlenmesi konusunda UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş İnşaat içerisinde ve UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş’nin işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
  • UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş nin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini üst yönetimin onayına sunmak,
  • Kişisel verilerin korunması, politikaların uygulanması ve yayılımı konusunda, kişisel veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler düzenlenmesini sağlamak,
  • Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
  • Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek, bu gelişmelere ve düzenlemelere uygun olarak UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş içinde yapılması gerekenler konusundaki önerilerini almak,
  • KVK Kurulu ve Kurumu ile olan ilişkileri yürütmek,
  • Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri yürütmek.

3.1.11 Çalışanların Kişisel Verilerin Korunması ve İşlenmesi Konusunda Görevleri ve Bilinçlendirilmesi

UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş Veri Sorumlusu olarak çalışanlarının “kişisel verilerin hukuka aykırı olarak işlenmesi, verilere hukuka aykırı olarak erişilmesini önleme ve verilerin muhafazasını sağlamaya yönelik farkındalıklarının artırılması” amacıyla KVKK Komitesi ekiplerince gerekli eğitimlerin düzenlenmesini sağlamaktadır.

UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş çalışanlarının Kişisel Verilerin Korunması Mevzuatı’ndan kaynaklanan aşağıda tanımlanmış sorumlulukları ve başlıca görevleri, “İş Tanımları”na eklenmiş olup çalışanlara tebliğ edilmektedir.

UBM ULUSLARARASI BİRLEŞMİŞ MÜŞAVİRLER MÜŞAVİRLİK HİZMETLERİ A.Ş çalışanlarının KVKK gereğince başlıca sorumlulukları aşağıdaki gibidir ;

  • Kişisel verilerin bu politikaya uygun meşru ve hukuki biçimde işlenmesini sağlamak,
  • Kişisel verilerin korunmasını sağlamak maksadıyla teknik ve idari tedbirlerin işletilmesine yaygın sorumluluk anlayışıyla katkı sağlamak,
  • Kişisel verileri yalnızca hukuki amaçlar çerçevesinde işlemek,
  • Kişisel verilerin doğru ve güncel olmasını sağlamak,
  • Herhangi bir amaçla işlenen kişisel verileri bu amaç için gerekli olan süreden daha uzun bir süre muhafaza etmemek ve saklamamak,