fbpx
  • 0 212 890 57 45
  • info@umde.org.tr
Twitter Instagram Facebook-f Youtube
Hesaplar
Bağış Yap

Kişisel Veri Saklama

1.  AMAÇ

UMDE Kişisel Veri Saklama ve İmha Politikası’nın amacı, ULUSLARARASI İLİM VE YARDIMLAŞMA DERNEĞİ (UMDE)’nın mevcut ve potansiyel müşterileri, tüketicileri, iş ortakları, ziyaretçileri, dernek çalışanları, çalışan adayları, işbirliği içinde bulunulan kurum çalışanları ile ilgili üçüncü kişilere ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

prensipleri ve veri imhası standartlarının Anayasa’nın 20’nci maddesi, 6698 sayılı Kişisel

Verilerin Korunması Kanunu 30224 sayı ve 28.10.2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile bu Kanun’un ikincil

düzenlemeleri başta olmak üzere ilgili mevzuatın belirttiği usul ve esaslara göre belirlenmesidir.

 

2.  KAPSAM

Politika’daki hüküm ve prensipler, kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilebilecek nitelikte olan ve fiziksel ve dijital ortamlarda bulunan her türlü bilgi ve

belgeyi ve bunlarla ilgili alınan silinmesi, yok edilmesi veya anonim hale getirilmesi prensiplerini ve veri imhası standartlarını kapsar.

 

3.  UMDE KAYIT ORTAMLARI

UMDE, Kişisel Verileri fiziksel evrak, dijital evrak ve veri tabanı ortamlarında kayıt altına alınmaktadır.

 

4.  HUKUKİ VE TEKNİK TERİMLER

Aydınlatma Beyanı: 6698 Sayılı KVK Kanununun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu bilgilendirme faaliyetleri ve/veya dokümanları.

 

İlgili Kişi Grubu: Kişisel Verileri işlenen kişi türü (çalışan, müşteri, ziyaretçi vb)

İlgili Kişi: Kişisel verileri işlenen veri sahibi gerçek kişi, Kişisel Veri Öznesi

 

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri

sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

 

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin

parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

 

Kişisel Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,

depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

 

Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,

 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

 

KV: Kişisel Veri

KV Envanteri: Kurumda işlenen (tutulan) Kişisel Verileri ve ilişkili bilgilerin tasnif edildiği liste

KVK: Kişisel Veri Koruma

 

KVK ihlali: İlgili kişilerin mağduriyeti olsun veya olmasın, UMDE derneğinin Veri Sorumlusu olduğu, içinde kişisel veri bulunan bilgi varlıklarının, UMDE derneğinin Kontrolü dışında çıkması ile 6698 Sayılı KVK Kanunu ve/veya UMDE derneği Prosedürlerine aykırı hususlar.

 

KVİS: Kişisel Veri İşleme Sözleşmesi; veri işleyenin, veri sorumlusunun talimatlarına, menfaatine ve iradesine uygun şekilde kişisel verileri işlemeyi taahhüt ettiği; bu iş görme borcu karşılığında veri sorumlusunun bedel ödemeyi üstlendiği sözleşme

 

KVKK: Kişisel Verilerin Korunması Kanunu KVKS: Kişisel Verilerin Korunması Sistemi ÖNKV: Özel Nitelikli Kişisel Veri

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

 

Veri işleyen: 6698 sayılı Kanunun 3-ğ. maddesine göre veri işleyen; “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade eder.

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

 

Veri Sorumlusu: Kişisel Veriyi işleyen Kurum (UMDE)

 

5.  KİŞİSEL VERİLERİN İMHASI

Kişisel Verilerin İmhası, verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye

ulaşabilmenin mümkün olmamasıdır. UMDE, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

 

a.      Kişisel Verilerin Silinmesi

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin İlgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 

UMDE, kişisel verileri sildiği durumlarda, ilgili kullanıcılar için verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir.

 

b.  Kişisel Verilerin Yok Edilmesi

Yok etme işlemi, UMDE’ nin verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılabilecektir. UMDE, bu durumda ilgili kişisel verilerin hiç kimse için erişilememesini, tekrar kullanılamamasını ve geri getirilememesini sağlayacaktır.

 

Yok etme işlemleri sırasında UMDE çalışanları ve ilgili departmanlar KVKS Komisyonu yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında UMDE, KVKS

Komisyonu’na gerekli her türlü teknik ve idari tedbiri alacaktır.

 

c.  Kişisel Verilerin Anonimleştirilmesi

Anonim hale getirme işlemi, UMDE’nin kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

Kişisel verilerin anonim hale getirilmesi KVKS Komisyonu’nun görevidir. KVKS Komisyonu gerekli durumlarda veri sahibi ilgili birimden destek alabilir fakat her hâlükârda ilgili birimi

bilgilendirme yükümlülüğü vardır.

Kişisel verilerin anonim hale getirilmesi sırasında UMDE, işbu Politika kapsamında belirtilen

yöntemleri kullanabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı durumlarda KVKS Komisyonu’na danışılmaktadır.

 

6.  UYUM

6.1.  Kişisel Veri İşleme Envanteri

UMDE, işbu envanter içerisinde, iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, kullandığı veri kategorilerini, verileri

aktardığı alıcı grubunu ve veri konusu kişi grubunu ilişkilendirmiş ve detaylandırmıştır. UMDE, Politika içerisindeki prensipleri dâhilinde bu envanteri güncel tutacağını taahhüt eder.

6.2.  Azami Saklama Süreleri ve Kişisel Veri Saklama Süre Tablosu

UMDE, bu tablo içerisinde, iş süreçlerine bağlı olarak işlemekte olduğu kişisel verileri kategorilerini ve veri kategorilerinin yasal gereksinimler ve iş amaçları doğrultusunda ne kadar süre saklanması gerektiğini ilişkilendirmiş ve detaylandırmıştır. UMDE, Politika içerisindeki prensipleri dâhilinde bu tabloyu güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine uygun verileri işleyeceğini taahhüt eder.

UMDE, tabloda yer alan kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken Veri Sorumluları Sicili Hakkında Yönetmeliği ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkındaki Yönetmeliği ile ilgili yönetmeliklerin aşağıda belirtilen usul ve esaslarını dikkate alarak belirler.

 

  1. İlgili veri kategorisiyle alakalı olarak işleme amacıyla UMDE’nin faaliyet gösterdiği, savaş ve savaşın etkisinin sürdüğü bölgelerde, afet bölgelerinde, yoksulluk olan ülke ve bölgelerde insani yardım faaliyetleri yürütme dâhil, UMDE’nin dahil olduğu tüm faaliyet alanlarında genel teamül

olarak ne kadar süre gerekli olduğu,

 

  1. İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ilgili kişiyle tesis edilen hukuki ilişkinin ne kadar süre devam edeceği,

  2. İlgili veri kategorisinin işlenme amacına bağlı olarak UMDE’nin elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak ne kadar süre geçerli olacağı,

 

ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken ne kadar süre devam edeceği,

  1. Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve güncel tutulmasına elverişli olup olmadığı,

 

  1. UMDE’nin hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri ne kadar süre saklamak zorunda olduğu,

  2. UMDE’nin ilgili kişisel veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresinin ne kadar olduğu, dikkate alınır.

 

UMDE, kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken ve uygularken, söz konusu sürelerin Kişisel Veri İşleme Envanterinde yer alan bilgilerle uyumunu ve azami sürelerin aşılıp aşılmadığını takip eder. Aşağıdaki hallerin mevcut olması durumunda veya UMDE tarafından öğrenilmesi üzerine, azami sürelere bakılmaksızın kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilerek; ilgili kişinin başvuru üzerine veya UMDE tarafından söz konusu kişisel veriler resen silinir, yok edilir veya anonim hale getirilir:

  1. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

 

  1. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,

  2. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

 

ç) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması

  1. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

 

  1. İlgili kişinin, kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

  2. UMDE’nın, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

 

  1. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

 

ğ) Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

 

6.3.  Kişisel Verilerin Güvenli Saklanmasına ve İmhasına İlişkin Alınan Önlemler

UMDE, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve

erişilmesinin önlenmesi, kişisel verilerinin hukuka uygun olarak imha edilmesi için teknik ve idari tedbirleri almakta yükümlü olmakla birlikte bu tedbirleri ilgili kişilere duyurmak ve

uygulanmasını sağlamakla yükümlüdür. Alınan teknik ve idari tedbirler;

 

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

  • Anahtar yönetimi uygulanmaktadır.

  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri

  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

  • Çalışanlar için yetki matrisi oluşturulmuştur.

  • Erişim logları düzenli olarak tutulmaktadır.

  • Erişim bilgi güvenliği kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

  • Gizlilik taahhütnameleri yapılmaktadır.

  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

  • Güncel anti virüs sistemleri kullanılmaktadır.

  • Güvenlik duvarları kullanılmaktadır.

  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

  • Kâğıt yolu ile aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

  • Kişisel veri güvenliğinin takibi yapılmaktadır.

  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel ) karşı güvenliği sağlanmaktadır.

  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

  • Kişisel veriler mümkün olduğunca azaltılmaktadır.

  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

  • Kurum içi periyodik ve / veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

  • Mevcut risk ve tehditler belirlenmiştir.

 

  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

  • Özel nitelikli kişisel veriler için güncel şifreleme /kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.

  • Sızma testi uygulanmaktadır.

  • Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip

  • Şifreleme yapılmaktadır.

  • Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.

  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.

  • Veri kaybı önleme yazılımları kullanılmaktadır.

 

6.4.  Periyodik İmha

UMDE, Kişisel Veri Saklama Süre Tablosu ve Kişisel Veri İşleme Envanterine paralel olarak, dijital ve fiziksel ortamlarında tuttuğu kişisel verileri, periyodik olarak altı (6) ayda bir kontrol edeceğini ve işlendikleri amaç sona erdiğinde söz konusu verileri tekrar eden aralıklarla resen sileceğini, yok edeceğini veya anonim hale getireceğini taahhüt eder.

 

7.  KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ, TEKNİK YA DA DİĞER SEBEPLER

UMDE aşağıdaki ihtiyaçlarını temin için kişisel verileri kanuna uygun olarak işlemektedir;

 

  • Ana iştigal alanı olan insani yardım faaliyetlerinin yürütülmesi

  • Acil durum yönetimi süreçlerinin yürütülmesi

  • Bilgi güvenliği süreçlerinin yürütülmesi

  • Çalışan adayı / Stajyer/ Öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi

  • Çalışan adayların başvuru süreçlerinin yürütülmesi

  • Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi

  • Çalışanlar için iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesi

  • Çalışanlar için yeni haklar ve menfaatleri süreçlerinin yürütülmesi

  • Denetim / Etik faaliyetlerin yürütülmesi

  • Eğitim faaliyetlerinin yürütülmesi

  • Erişim yetkilerinin yürütülmesi

  • Faaliyetlerin mevzuata uygun yürütülmesi

  • Finans ve muhasebe işlerinin yürütülmesi

  • Fiziksel mekân güvenliği temini

  • Görevlendirme süreçlerinin yürütülmesi

 

  • Hukuk işlerinin takibi ve yürütülmesi

  • İç denetim, soruşturma, istihbarat faaliyetlerinin yürütülmesi

  • İletişim faaliyetlerinin yürütülmesi

  • Mal, hizmet, üretim ve operasyon süreçlerinin yürütülmesi

  • Organizasyon ve etkinlik yönetimi

  • Performans değerlendirme süreçlerinin yürütülmesi.

  • Risk yönetimi süreçlerinin yürütülmesi

  • Saklama ve arşiv faaliyetlerinin yürütülmesi

  • Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi

  • Sözleşme süreçlerinin yürütülmesi

  • Talep ve şikayetlerin takibi

  • Taşınır mal ve kaynakların güvenliğinin

  • Tedarik zinciri yönetim süreçlerinin yürütülmesi

  • Ücret politikasının yürütülmesi

  • Veri sorumlusu operasyonlarının güvenliğinin temini

  • Yabancı personel çalışma ve oturma izni işlemleri

  • Yetenek, kariyer gelişimi faaliyetlerinin yürütülmesi

  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi

  • Yönetim faaliyetlerinin yürütülmesi

  • Ziyaretçi kayıtlarının oluşturulması ve takibi

8.  KV İMHA ORGANİZASYONU (UNVANLAR, BİRİMLER VE GÖREV TANIMLARI)

 

KV imha süreçlerinin yönetimi KVKS Komisyonu’ndadır. KVKS Komisyonu ve diğer tüm organizasyonu belirleyen müstakil bir prosedür bulunmaktadır. Genel organizasyonda, özellikle de veri imha konusunda rol ve sorumluluklar prosedürler ile belirlenmektedir.

 

9.  SAKLAMA VE İMHA SÜRELERİNİ GÖSTEREN TABLO

Saklama süreleri KV envanteri ile belirlenmiştir.

 

10.  POLİTİKA REVİZYONLARI

Bu Politika’nın revizyonları bağlı bulunan KVKS-P-02_KİŞİSEL_VERİ_İMHA_PROSEDÜRÜ ile birlikte yönetilmekte ve kurum sistemlerinde canlı tutulmaktadır.

İnanç, İyilik, Birlik

Twitter Instagram Facebook-f Youtube
Kurumsal
Bağış Yap
Bilgi Edin
Çağrı Merkezi
Çağrı Merkezi
ÇAĞRI MERKEZİ
0 212 890 57 45

UMDE Tüm Hakları Saklıdır © 2024