KIRIKKALE BELEDİYESİ KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHASI

1. GİRİŞ
1.1. Politikanın Amacı
1.1.1. Kişisel Verileri Saklama ve İmha Politikası (Politika), KIRIKKALE BELEDİYESİ BELEDİYESİ tarafından (KIRIKKALE BELEDİYE BAŞKANLIĞI) kişisel veri işleme işlemleri kapsamında saklama ve imha faaliyetlerine ilişkin olarak usul ve esasları belirlemek amacıyla hazırlanmıştır.
1.2. Politikanın Kapsamı
1.2.1. Politika’nın kapsamı; kayıt ortamlarında işlenilen tüm kişisel verilerdir.
1.3. Politikanın Yürürlüğü
1.3.1. Politika ve politika güncellemeleri KIRIKKALE BELEDİYE BAŞKANLIĞI internet sitesinde yayınlanmakla yürürlüğe girer.
1.4. Tanımlar
TANIM AÇIKLAMA
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza Çalışan KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde çalışanlar İlgili Kişi Kişisel verisi işlenen gerçek kişi İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler Kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Verileri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları dokümandır. Kişisel Verilerin İmha Edilmesi Kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesi işlemi Kurul Kişisel Verileri Koruma Kurulu Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve biyometrik ve genetik veriler Periyodik imha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi Veri Kayıt Sistemi Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi VERBİS (Veri Sicil Bilgi Sistemi) Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu tarafından oluşturulan ve yönetilen bilişim sistemi Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi


2. SORUMLULUK VE GÖREV DAĞILIMI
KIRIKKALE BELEDİYE BAŞKANLIĞI KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHASI POLİTİKASI
2.1. KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesindeki tüm birimler ve çalışanlar Politika’nın uygulamak ve Politika’da yer alan kurallara uymak zorundadır.
2.2. Kişisel verilerin saklanmasında ve imhasında görev dağılımı aşağıda belirtilmiştir.
2.2.1. KIRIKKALE BELEDİYE BAŞKANLIĞI en üst düzey yöneticisi, çalışanların Politika’ya uymasından, Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve  güncellenmesinden, uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. En üst düzey yönetici, ihtiyaç duyduğu takdirde bu konularla ilgili KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde bulunan çalışanlardan ve dış kaynaklardan destek alabilir, görevlendirme yapabilir.
2.2.2. KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesindeki kişisel veri işleme faaliyetlerine ilişkin tüm süreçler ilgili birimler bazında analiz edilmekte, bu kapsamda her birim tarafından Kişisel Verileri İşleme Envanteri hazırlanmaktadır. Kişisel verileri saklama ve imha süreçlerinde yer alan ve sorumlu olan kişiler, ilgili her birimin, birim bazındaki en yetkili çalışanıdır.
3. KİŞİSEL VERİLERİN SAKLANMASI
3.1. Saklamayı Gerektiren Hukuki Sebepler
3.1.1. KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde saklanan kişisel veriler Tablo 1’de belirtilen mevzuat çerçevesinde saklanmaktadır.
3.2. Kişisel Verilerin Saklandığı Ortamlar
3.2.1. KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde saklanan kişisel veriler, Tablo 2’de belirtilen ortamlarda saklanmaktadır.
3.3. Saklama Amaçları
3.3.1. KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde saklanan kişisel veriler, Tablo 3’de belirtilen amaçlarla saklanmaktadır.
3.4. Saklama Süreleri
3.4.1. KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde saklanan kişisel veriler, Tablo 4’de belirtilen sürelerde saklanmaktadır.
4. KİŞİSEL VERİLERİN İMHASI
4.1. İmha Sebepleri
4.1.1. Kişisel veriler aşağıda belirtilen sebeplerin varlığı halinde imha edilir.
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması durumunda ilk periyodik imha süresinde imha edilir.
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri almasıyla derhal imha edilir.


• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun KIRIKKALE BELEDİYESİ BELEDİYESİ tarafından kabul edilmesi halinde derhal imha edilir.
• Kurul tarafından imha kararı verilmesi derhal imha edilir.
• Kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması ilk periyodik imha süresinde imha edilir.
4.2. Kişisel Verileri İmha Süreci
4.2.1. Kişisel verilerin imhası işlemlerinde takip edilecek süreç aşağıda belirtilmektedir.
• İmha işlemine konu teşkil edecek kişisel verilerin Kişisel Verileri İşleme Envanterin de belirlenmesi.
• Kişisel Verileri İşleme Envanterinde bulunan İlgili Kullanıcıların gruplarının kişi/rol bazında detaylandırılması.
• İlgili Kullanıcı’ların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
• İlgili Kullanıcı’ların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması, imhası ve imha edilecek verilerin loglarının tutulması.
• İmha işlemi gerektiği durumunda derhal veya periyodik imha tarihi olan Nisan ve Ekim aylarında gerçekleştirilir.
4.2.2. Kişisel Verilerin Silinmesi Yöntemleri
4.2.2.1. Hizmet Olarak Uygulama Türü Bulut Çözümleri (Google Suite, Google Drive gibi) KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde, bulut sistemi uygulamalarında kişisel verileri işlenmesi durumunda İlgili Kullanıcı tarafından kalıcı olarak silinmektedir. İlgili Kullanıcının bulut sistemi üzerinde ilgili verileri geri getirme yetkisi bulunmamaktadır.
4.2.2.2. Kâğıt Ortamında Bulunan Kişisel Veriler
KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde kâğıt ortamında bulunan kişisel veriler okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.
4.2.2.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları
İlgili Kullanıcı’nın kişisel verilerin bulunduğu dosyada kalıcı silme yetkisi var ise ilgili dosyayı, dosyanın işletim sistemindeki silme komutu ile tekrar ulaşamayacak şekilde silebilmektedir. Eğer kalıcı silme yetkisi yok ise dosyanın bulunduğu dizin üzerinde İlgili Kullanıcı’nın erişim hakları kaldırılmaktadır. Bu işlemler gerçekleştirilirken, İlgili Kullanıcı’nın aynı zamanda sistem yöneticisi olmaması konusunda gerekli tedbirler alınmaktadır.
4.2.2.4. Taşınabilir Medyada Bulunan Kişisel Veriler
KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesinde taşınabilir saklama ortamlarındaki kişisel veriler, şifreli olarak saklanmakta ve bu ortamlara uygun yazılımlar kullanılarak silinmektedir.



4.2.2.5. Veri Tabanları
KIRIKKALE BELEDİYE BAŞKANLIĞI veri tabanlarında saklanan kişisel veriler, veri tabanı komutları ile silinmektedir. Bu işlem gerçekleştirilirken İlgili Kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.
4.2.3. Kişisel Verilerin Yok Edilmesi Yöntemleri
4.2.3.1. Yerel Sistemleri De-manyetize Etme Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
4.2.3.2. Yerel Sistemleri Fiziksel Yok Etme
Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir.
4.2.3.3. Yerel Sistemlerin Üzerine Yazma Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır
4.2.3.4. Taşınabilir ortamlar
Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSIExpress vb.) arayüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da Yerel Sistemler bölümünde belirtilen uygun yöntemlerin bir ya dabbirkaçı kullanılmak suretiyle yok edilmektedir.
4.2.3.5. Manyetik Bant
Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekmektedir.
4.2.3.6. Manyetik Disk Gibi Üniteler
Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekmektedir.
4.2.3.7. Mobil Telefonlar (Simkart ve Sabit Hafıza Alanları)
Akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Yerel Sistemler bölümünde belirtilen uygun yöntemlerin bir yada birkaçı kullanılmak suretiyle yok edilmesi gerekmektedir.
4.2.3.8. Optik diskler CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.
4.2.3.9. Kâğıt ve Mikrofiş ve Benzeri Ortamlar Kâğıt ve mikrofiş ve benzeri ortamlarda bulunan kişisel verilerin yok edilmesi işlemi gerçekleştirilirken kâğıt imha veya kırpma makinaları kullanılmaktadır.


4.2.4. Kişisel Verileri Anonim Hale Getirme Teknikleri
4.2.4.1. Maskeleme
Veri maskeleme ile kişisel verinin temel belirleyici bilgisinin veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. “İlgili kişinin tanımlanmasını sağlayan isim, T.C. Kimlik No vb. bilginin çıkartılması yoluyla ilgili kişinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.” “Kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (0998 **** **** 8906)”
4.2.4.2. Toplulaştırma
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. “Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.” “KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesindeki kadın çalışan sayısının Z adet olması ve sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiştir.”
4.2.4.3. Veri Türetme
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. “Doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.”
4.2.4.4. Veri Karma
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. “Ses kayıtlarının niteliğinin değiştirilerek sesler ile ilgili kişinin ilişkilendirilemeyecek hale getirilmesi.” “Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.”
5. İDARİ VE TEKNİK TEDBİRLER
5.1. Teknik Tedbirler
5.1.1. Teknik konularda yetkili personel veya dış kaynak kullanımı sağlanarak KIRIKKALE BELEDİYESİ bünyesinde sürekli personel çalıştırılmaktadır.
5.1.2. Kişisel verilerinizin saklanacağı veri tabanları ve yazılımsal/donanımsal depolama üniteleri ve benzeri teknik altyapı oluşturulmakta ve kullanılmaktadır.
5.1.3. Kişisel Verilerin İşleme Envanteri oluşturulacak işlenen tüm kişisel veriler tespit edilmekte ve bu verilerin işlenmesi sırasında ortaya çıkabilecek risk ve tehditler belirlenmektedir.
5.1.4. Riskli durumlar yeniden incelenerek gerekli teknolojik çözümler üretilmektedir.
5.1.5. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmaktadır.
5.1.6. Kişisel verilerin güvenli şekilde imha edilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları ve teknik önlemler oluşturulmakta ve uygun imha yöntemi belirlenmektedir.
5.1.7. Kişisel verilerin imha edilmesi konusunda teknik uzmanlığı olan çalışanlar istihdam edilmekte ya da bu sürecin gerçekleşeceği durumlarda dış teknik destek alınmaktadır.
5.1.8. Kâğıt ortamında bulunan verilerin imhası öğütücü makinalar tarafından yapılmaktadır. Bu makinalar veri işleyenlerin kolay bir şekilde kullanabileceği lokasyonlarda bulunmaktadır.
5.1.9. Erişim yetkileri düzenlenmekte ve sürekli olarak kontrol edilmektedir.
5.1.10. Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
5.1.11. Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
5.1.12. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması işlemleri sağlanmaktadır.
5.1.13. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
5.1.14. Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya Sftp yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa
evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
5.2. İdari Tedbirler
5.2.1. Kişisel verilerin hukuka uygun saklanması konusunda farkındalık faaliyetleri ve eğitimleri yapılmaktadır.
5.2.2. KIRIKKALE BELEDİYE BAŞKANLIĞI bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler ilgili birimler bazında analiz edilmekte, bu kapsamda her birim tarafından Kişisel Verileri İşleme Envanteri hazırlanmakta ve tek bir veri envanteri halinde saklanmaktadır.
5.2.3. Kişisel verilerin işlenmesi sürecinde uygulanacak politika ve prosedürler oluşturulmakta ve uygulanmaktadır.
5.2.4. İşlenen kişisel verilerin azaltılmasına yönelik çalışmalar yürütülmektedir.
5.2.5. Kişisel verilerin saklanması için iş birliği yapılması durumunda kişisel verilerin aktarıldığı gerçek/tüzel kişiler ile yapılan sözleşmelere; kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer vermekteyiz.
5.2.6. Tarafımıza kişisel veri aktaran hizmet aldığımız gerçek/tüzel kişiler ile gizlilik sözleşmeleri imzalamakta, bu verilerin hukuka uygun aktarıldığı konusunda bu sözleşmeler yoluyla teyit almaktayız.
5.2.7. Kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmektedir.
5.2.8. Denetim mekanizmaları ile kişisel verilerin imha işlemlerinin zamanında yapılıp yapılmadığı ve ilgili kayıtların alınıp alınmadığı kontrol edilmektedir.
5.2.9. Kişisel veri işlemeye başlamadan önce KIRIKKALE BELEDİYE BAŞKANLIĞI tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
TABLO 1: Saklamayı Gerektiren Mevzuat Dayanak

Bu Sayfa 156 kişi tarafından okundu.