Kişisel Verilerin Korunması Gizliliği ve İmha Edilmesi Politikası

DUOSİS Bilgi Sistemleri San. Ve Tic. A.Ş. 

Kişisel Verilerin Korunması Gizliliği ve İmha Edilmesi Politikası 

1. AMAÇ 

Bu politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) uygun olarak işlenmiş olan kişisel verilerin yine Kanun’un 4., 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının ortadan kalkması halinde, kendi başına veya veri sahibinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi usullerini tanımlamaktır.  

2. TANIMLAR 

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. 

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. 

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. 

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. 

Kişisel Verilerin Korunması Gizliliği ve İmha Politikası: DUOSİS tarafından hazırlanan bu politikayı ifade eder. 

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. 

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. 

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. 

Kurul: Kişisel Verileri Koruma Kurulu 

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. 

Periyodik İmha: Kanun’da tanımlanmış olan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla kendi kararı ile gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. 

Veri Sahibi / İlgili Kişi: Kişisel verisi işlenen gerçek kişi. 

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. 

Web Sitesi: https://www.duosis.com adresinde yer alan web sitesi. 

5651 Sayılı Kanun: İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla Mücadele edilmesi hakkında Kanun 

6698 Sayılı Kanun / KVKK: Kişisel verilerin korunması Kanunu. 

3. Kişisel Verileri Toplama Yöntemi ve Hukuki Nedeni 

Kişisel veriler kurumsal faaliyetleri yürütmek amacıyla DUOSİS tarafından asgari düzeyde ve farklı kanallarla toplanmaktadır. Kişisel veriler, 6698 sayılı kanun tarafından öngörülen temel ilkelere uygun olarak, 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında elde edilmektedir. 

4. Kişisel Verileri İşleme Nedenleri 

  • Kişisel veri sahiplerini aydınlatma ve bilgilendirme, 
  • Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma, 
  • Kişisel verilerin muhafazasında gerekli tedbirleri alma, 
  • Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme, 
  • Kişisel verileri doğru ve gerektiğinde güncel tutma, 
  • Kişisel verileri belirli, açık ve meşru amaçlar için işleme, 
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme, 
  • Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK kurulu düzenlemelerine uygun davranma, 
  • Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme. 
  • Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme. 

5. Kişisel Verileri İşleme Amaçları 

  • Kişisel veriler işlenmesine ilişkin DUOSİS kendisinin bir faaliyette bulunmasının kanunlarda açıkça öngörülmesi durumunda, 
  • Kişisel veriler, DUOSİS tarafından işlenmesinin bir sözleşmenin yapılması veya uygulanmasıyla doğrudan doğruya ilgili ve gerekli olması halinde, 
  • Kişisel veriler işlenmesinin DUOSİS için hukuki yükümlülüğünü yerine getirebilmesi açısından zorunlu olması, 
  • Kişisel veriler ilgili kişiler tarafından alenileştirilmiş olması durumunda; ilgili kişinin alenileştirme amacıyla sınırlı bir şekilde DUOSİS tarafından işlenmesi, 
  • Kişisel veriler DUOSİS tarafından işlenmesinin DUOSİS veya ilgili kişilerin veya üçüncü kişi / tarafların haklarının tesisi, kullanılması veya korunması için zorunlu olması hallerinde, 
  • İlgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla DUOSİS meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması durumlarında 
  • DUOSİS tarafından kişisel veri işleme faaliyetinde bulunulmasının ilgili kişi ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması hallerinde, 
  • İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması, 
  • İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi, 
  • Kurumsal sürdürülebilirlik/ iş sürekliliği faaliyetlerinin planlanması ve icrası, 
  • İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi, 
  • DUOSİS personel temin süreçlerinin yürütülmesi, (Çalışan adaylarının kişisel verilerinin işlenmesi) 
  • DUOSİS finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi, 
  • DUOSİS hukuki iş ve işlemlerinin icrası/takibi, 
  • Kurumsal iletişim faaliyetlerinin planlanması ve icrası, 
  • Kurumsal yönetim faaliyetlerinin icrası, 
  • Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi, 
  • Talep ve şikâyet yönetimi, 
  • DUOSİS açısından ilgili mevzuata uyum sağlanması için, 
  • DUOSİS kendi itibarını korumaya yönelik çalışmaların gerçekleştirilmesi, 
  • Yatırımcı ilişkilerinin yönetilmesi, 
  • Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilebilmesi, 
  • Ziyaretçi yönetimi için, 
  • Acil durum yönetimi süreçlerinin planlanması ve icrası  
  • Suç ya da hukuka aykırılık durumunda kolluk kuvvetine haber verilmesi için. 

Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVK kanunu kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak DUOSİS tarafından açık rıza alınmaktadır. 

6. Kişisel Verilerin Elde Edilmesi ve İşlenmesi 

6.1. Web Sitesi Kullanıcılarının (Çevrimiçi ziyaretçi) ve WIFI Hizmeti Kullanıcılarının Kişilerin Kişisel Verilerinin İşlenmesi 

DUOSİS web sitesini ziyaret edenler, talep ve önerilerde bulunmak isterlerse adı, soyadı, e-posta, mesaj ve ilgili konuları yazarak kuruluş eposta adresi üzerinden iletişime geçebilirler.  

Kullanıcılar paylaştıkları kişisel verilerini tamamen kendi iradeleri ile paylaştıklarını kabul ederler. Kişisel veriler, sadece kullanıcılar tarafından yöneltileni talep ve önerilerin değerlendirmesi için işlenir. 

DUOSİS web sitesini ziyaret edenlere ait IP adresi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgilerinden oluşan, “trafik bilgileri”, 5651 Sayılı Kanun uyarınca loglanmaktadır. 

DUOSİS fiziksel olarak yerleşkesini ziyaret eden ve misafir ağından faydalanmak isteyen ziyaretçilerinin 5651 sayılı kanun ve ilgili ikincil mevzuatına uyum için özel cep telefonu, TCKN, Adı Soyadı, cihaz MAC veya IMEI bilgilerini işlemektedir. 

6.2. Tedarikçilerin ve Müşterilerin Kişisel Verilerinin İşlenmesi 

DUOSİS ürün, hizmet veya mal tedarik süreçlerinin takibi ve icrası amacıyla gerçek kişi tedarikçi, tedarikçi çalışanı ve/veya tedarikçi yetkilisine ait asgari düzeyde kişisel verileri işlemektedir. 

İlgili veriler, (Ad-soyadı telefon ve e-mail bilgisi) Office 365 ortamında ve DUOSİS telefonlarında muhafaza edilir. 

6.3. DUOSİS Personeline ait bilgiler 

DUOSİS çalışanlarına ait kişisel veriler aydınlatma yükümlülüğü çerçevesinde işlenmektedir. Aydınlatma yükümlülüğü kapsamına girmeyen özel olarak DUOSİS işletme gereksinimlerine, meşru menfaatlerine uygun olarak topladıkları verileri ise çalışanların açık rızaları dahilinde işlenmektedir. Çalışana ait kişisel veriler özlük dosyalarında, bordro programında ve sınırlı yetkilere sahip kullanıcıların erişebildikleri ortak alanlarda saklanmaktadır. 

Çalışanların açık rıza verdikleri veriler çalıştıkları süre boyunca özlük dosyalarında muhafaza edilir.  

İşten ayrılan, emekli olan, kullanım amacı ortadan kalkmış kişisel veriler ilgili kanunlar gereğince saklanır ve tanımlanmış şartları karşılamış olmaları halinde imha edilir. 

Müşterilerin talebi halinde çalışanlarımızın özgeçmiş bilgileri DUOSİS ticari faaliyetini sürdürmesi amacıyla paylaşabilir. Bu durumda çalışanın açık rızası alınır.  

DUOSİS çalışanlara zimmetlediği telefon, bilgisayar ve araç vb. gereçlerde kişisel veri saklanmamasını istemektedir. Zimmet olarak verilen araç ve gereçlerin iade edilmesi sırasında cihazlardaki tüm kişisel veriler çalışanın huzurunda silinir. Çalışan kendisine ait kişisel verileri almak hakkına sahiptir.  

DUOSİS tarafına internet üzerinden yapılan başvurular, saklanmaz, kayıt altına alınmaz.  

Mülakat için çağrılan çalışan adaylarından özgeçmiş bilgilerinin ne kadar süre ve ne amaçla saklanacağına dair açık rıza alınır. Çalışan adaylarının başvuruları dosyalanır ve tanımlanmış süre sonunda imha edilir. 

6.4. Ziyaretçilerin Kişisel Verilerinin Güvenliğinin Sağlanması ve Kişisel Veri Paylaşımı 

Ziyaretçilere ait kimlik bilgileri, kamera kayıtları sadece yetkili kişilerin erişimine açık olan sistemlerde muhafaza edilmektedir.  

Ziyaretçi kişisel verileri ile kamera kayıtları talep etmeye hukuken yetkili olan kamu kurum ve kuruluşları ile paylaşılmaktadır. 

 DUOSİS çalışan ve ziyaretçilerinin güvenliğini sağlamak amacıyla ofis koridorları ve üretim, depolama, yükleme alanlarında, yerleşke giriş çıkış noktalarında kameralar ile görüntü kaydı almaktadır. Ziyaretçilere kamera ile kayıt yapıldığına ilişkin bilgilendirmeler yerleşke girişinde güvenlik görevlisi tarafından yapılmaktadır. Kayıtlar 2 ay süre ile saklanır ve süre sonunda üzerine ilk günün üzerinen yazmaya başlar. 

7. Kişisel Verilerin Doğru ve Güncel Olarak Muhafaza Edilmesi 

Kişisel verilerini işlediğimiz ilgili kişi grupları  

  • Web Sitesi üzerinden paylaştıkları 
  • Bizzat kendilerinin verdikleri,  
  • Sözleşme ilişkisi dolayısıyla alınmış olan 

kişisel verilerin  

  • Doğru ve güncel olanları paylaşacaklarını,  
  • Kişisel verileri üzerinde sahip oldukları hakları kullanma hakkında bilgi sahibi olduklarını,  
  • Yanlış bilgi verilmesinden doğacak sorumluluğun tamamen kendilerine ait olacağını  

kabul ve beyan etmektedirler.  

8. Kişisel Verilerin Saklandığı Ortamlar 

İlgili kişilere ait kişisel veriler, DUOSİS tarafından aşağıdaki listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır: 

Elektronik ortamlar: 

  • Zirve Finans Programı 
  • Microsoft Office 365 Programları 

Fiziksel ortamlar: 

  • Çalışma Alanları 
  • Birim Dolapları 
  • Klasörler 
  • Çalışan masaları 
  • Arşiv 

9. Saklama ve İmhayı gerektiren Nedenler 

Veri sahiplerine ait kişisel veriler, DUOSİS tarafından özellikle: 

  1. Üretim ve ticari faaliyetlerin sürdürülebilmesi, 
  1. Hukuki yükümlülüklerin yerine getirilebilmesi, 
  1. Çalışan haklarının ve yan haklarının planlanması ve ifası 
  1. Müşteri veya çalına adayları ile ziyaretçilerin haklarının korunması 
  1. Müşteri ve tedarikçi / alt yüklenici ilişkilerinin yönetilebilmesi  

amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. 

Saklamayı gerektiren sebepler aşağıdaki gibidir: 

  1. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması, 
  1. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması, 
  1. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, DUOSİS için meşru menfaatinin olması, 
  1. Kişisel verilerin DUOSİS için herhangi bir hukuki yükümlülüğünü yerine getirmesi, 
  1. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi, 
  1. Veri sahiplerinin açık rızasının alınmasını gerektiren işleme faaliyetleri açısından veri sahiplerinin açık rızasının bulunması. 

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, DUOSİS tarafından yasalara, diğer ilgili mevzuat hükümlerine uygun olması halinde kendi başına yahut talep üzerine silinir, yok edilir veya anonim hale getirilir: 

  1. Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, 
  1. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması, 
  1. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması. 
  1. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması, 
  1. İlgili kişinin, Kanun’un 11. Maddesinin 2 (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, 
  1. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması, 
  1. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması. 

10. Kişisel Verilerin Korunmasına İlişkin Alınan Tedbirler 

DUOSİS, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.  

Alınmış olan teknik ve idari tedbirler Kişisel Veri Koruma ve Gizliliği Politikasında, kişisel Veri Envanterinde düzenlenmiştir.  

İşlenen kişisel verilerin teknik ve idari tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, DUOSİS bu durumu mümkün olan en kısa süre içerisinde veya mevzuatta tanımlanmış süreden önce (72 saat) ilgili birimlere / taraflara haber verir. 

10.1. Teknik Tedbirler: 

  • İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirmeler için LDAP / AD yapılandırması mevcuttur.  
  • LDAP / AD üzerinden erişim yetkileri sınırlandırılmıştır. Erişim yetkileri düzenli olarak gözden geçirilmektedir. 
  • Virüs koruma sistemleri mevcuttur. 
  • Güvenlik duvarları yapılandırılmıştır. 
  • Teknik konularda dış kaynak kullanımı ile destek hizmeti alınmaktadır.  
  • Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için güvenlik taramaları yapan tedarikçilerle çalışılmaktadır. 
  • İhtiyaç oluştuğunda ayrıca bağımsız kurumlardan sızma testi hizmeti alınmaktadır. 
  • Kâğıt ortamlardaki kişisel veriler kâğıt kırpma makinelerinde geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde imha edilmektedir. 

10.2 İdari Tedbirler: 

  1. Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda farkındalık eğitimlerine tabi tutulmaktadır. Eğitim katılım formları saklanmaktadır.  
  1. İlgili İş birimi bazında (İSG, İK, BT gibi) kişisel veri işlenen yerlerde çalışanlara “Özel Nitelikli Veri işleme Taahhütnamesi” imzalatılmaktadır.  
  1. DUOSİS’e ait kişisel verileri işleyen kurumlarla kurumlar arası “Kişisel Veri İşleme Taahhütnamesi” imzalatılmaktadır. Taahhütname iş akdinin bitmesinden sonra da devam etmektedir. Taahhütname içinde “kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği” konuları yer almaktadır. 
  1. DUOSİS içinde kişisel verilere erişim ve yetkilendirme şartları tanımlanmıştır. Tanımlanan şartlara uygun yetkilendirmeler yapılmaktadır.  Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi dikkate alınır. Taahhütname iş akdinin bitmesinden sonra da devam etmektedir. 
  1. DUOSİS kişisel verilerin hukuka uygun olarak aktarıldığı kurumlardan / kamu otoritelerinden /gerçek kişilerden gerekli güvenlik tedbirlerini alacağı ve kendi kuruluşlarında / kendileri tarafından alınan tedbirlere uyacaklarına ilişkin güvenceleri almıştır.  
  1. İşlenen kişisel verilerin hukuka aykırı yollarla elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirecektir. 
  1. DUOSİS bünyesindeki yönetim sistemleri tetkiklerinde KVKK hükümlerine uyum şartlarını da denetler.  

11. Kişisel Verilerin İmha Edilmesi 

DUOSİS ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesinden sonra ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişilemeyecek ve kullanılmayacaktır.  

DUOSİS tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin bir veri takip işleyişi dokümante edilmiştir. İşleyişte, sırası ile silinecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve sonrasında verilerin silinmesi olacaktır. 

DUOSİS kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir: 

11.1. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Yöntemler 

11.1.1. Kişisel Verilerin Silinmesi 

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.  

Kişisel verilerin silinmesi yöntemi olarak DUOSİS aşağıdaki yöntemlerden bir veya birkaçını kullanabilir: 

  • Kâğıt ortamında bulunan kişisel verilere karartma, çizme, boyama, kesme, parçalama veya silme işlemleri uygulanacaktır. 
  • Merkezi dosya sunucusunda yer alan ofis dosyalarına erişimler birimlerine, konumlarına göre sınırlandırılmaktadır. Genel haklara sahip olan kullanıcıların kişisel bilgi içeren ortak klasörlere erişimleri kaldırılmaktadır.  
  • Veri tabanlarında bulunan kişisel bilgilerin bulunduğu satırlar yahut sütunlar yetkisi olmayanlar için maskelenecektir.  
  • Gerekli olduğu zaman bir uzman tarafından yardım alınarak ve tanıklar huzurumda güvenli olarak silinecek ve tutanak ile kayıt altına alınacaktır. 

11.1.2. Kişisel Verilerin Yok Edilmesi 

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemlerinde iki yöntem kullanmaktadır: 

  • Fiziksel Yok Etme 
  • Kâğıt İmha Makinesi ile Yok Etme 

11.1.3. Kişisel Verileri Anonim Hale Getirilmesi 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.  

 DUOSİS kişisel verileri anonim hale getirmek gerekmesi halinde aşağıda belirtilen iki yöntem kullanılır:  

  • Maskeleme (Masking): Veri maskeleme ile kişisel verinin temel belirleyici bilgisi veri seti içerisinde yetkisi olmayan kişilerin görmesi engellenir. 
  • Kayıtları Çıkartma: Kayıttan çıkarma ile veri, bulunduğu satırlardan çıkarılır. 

Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. 

DUOSİS kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kendi başına karar alabilecek ve seçmiş olduğu kategoriye göre kullanacağı yöntemi de serbestçe belirleyebilecektir.  

Ayrıca Yönetmelik’in 13. maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde mevzuat / saklama süreleri / hukuki işlem gibi nedenlerden kaynaklanabilecek tasarruf hakları saklı kalmak koşulu ile ilgili kategoride kullanılacak yöntemler konusunda DUOSİS serbesttir.  

12. Kişisel Verileri Saklama ve İmha süreleri 

DUOSİS, kişisel verileri işlendikleri amaç için gerekli olan süre boyunca saklar.  

Kişisel veriler, esas toplanma amacının veya varsa ikincil işleme dayanaklarının ortadan kalkması halinde DUOSİS tarafından belirtilen süreler boyunca saklanmaya devam edilebilir. 

Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye uygun davranılır. 

Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler tanımlanmış olan kayıtların saklama sürelerine uygun şekilde saklanacaktır.  

Bu süreler; DUOSİS tarafından veri kategorileri ve veri sahibi kişi grupları değerlendirilerek kararlaştırılmıştır. 

Bu sürelerin sona ermesi dolayısıyla silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı durumda DUOSİS bu tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir. 

İnternet kullanan tüm çalışanlar, tedarikçi personeli, ziyaretçiler, 3. taraflar için internete erişim verilerinde yer alan kişisel verilerin saklama süresi mevcut mevzuat gereği 2 yıldır. 

Kamera kayıtlarının saklanma süresi 60 gündür.  

Tedarikçi çalışanlarına ilişkin kişisel veriler hukuki ilişkinin sona ermesinden itibaren mevzuat uyarınca 10 yıl süre ile saklanmaktadır. 

13. DUOSİS Periyodik İmha Süresi 

DUOSİS, periyodik imha süresini yılda bir kez olarak belirlemiştir.  

Saklama süresi dolan kişisel veriler, imha süreleri çerçevesinde, 1 yıllık periyodlarla imha edilir.  

14. Personel tarafından yapılan Kişisel Veri İşleme Çalışmaları 

Kanun kapsamında DUOSİS veri sorumlusu sıfatıyla, Yönetmelik’in 11. maddesinin 1. fıkrasına dayanarak, Kanunun veri saklama ve imha süreci uygulanması bakımından yükümlülükleri tanımlamıştır. 

Tanımlı personel, Türk Ticaret Kanunu, Borçlar Kanunu ve Türk Ceza Kanunu kapsamında kendi yetki sınırları içinde gerçekleşen işlem ve eylemlerden sorumludur.  

Özellikle Kolluk kuvvetlerine karşı, Savcılıklarda, kamu kurumlarında ve mahkemelerde DUOSİS kendini temsil etme ile ifade vermeye yetkili olarak DUOSİS “Veri Sorumlusu”nu seçmiştir.  

Her bir departman sorumlusu, departmanlardaki ilgili kullanıcıların Kanun ve Yönetmeliklerin çerçevelerine uygun davranıp davranmadığını denetlemekle yükümlüdür. 

Tüm departman sorumluları belirtilen periyodik imha işlemlerinin sonuçlarına “Veri Sorumlusu”na raporlayacaktır.  

15. İlgili Kişinin Başvurusu 

İlgili kişi, Kanun’un 13. maddesine ve ilgili Yönetmelik’in 12. maddesine istinaden “Başvuru ve Şikâyet Formu” ile DUOSİS veri sorumlusuna başvurabilecektir.  

  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini sağlar. 
  1. Veri sorumlusu, ilgili kişinin talebinin alındığı bilgisi ile yanıtlar.  
  1. Mevzuat / saklama süreleri / hukuki işlem gibi nedenlerden kaynaklanabilecek tasarruf hakları saklı kalmak koşulu ile en geç otuz gün içinde Başvuru ve Şikâyet Formunda istenilen talepleri sonuçlandırır ve ilgili kişiye bilgi verir. 
  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişilere / taraflara bildirir; üçüncü kişi / taraf nezdinde Yönetmelik kapsamında gerekli işlemleri gerçekleştirir. 
  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.  
  1. DUOSİS aşağıdaki gerekçelerle veri sorumlusuna ait kişisel veri ile ilgili talepleri reddedebilir; 
  1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi. 
  1. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. 
  1. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. 
  1. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 
  1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. 
  1. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. 
  1. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. 
  1. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 
  1. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması. 
  1. Orantısız çaba gerektiren taleplerde bulunulmuş olması. 
  1. Talep edilen bilginin kamuya açık bir bilgi olması. 

15.1 Kişisel Veri Sahibinin Haklarını Kullanması 

Veri sahipleri kendilerine ait haklarına ilişkin taleplerini, kimliklerini tespit edecek bilgi ve belgelerle ve DUOSİS web sayfasında yayınlanmış “Başvuru ve Şikâyet Formu” ile iletebileceklerdir. 

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır. 

15.2 Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı 

Kanun’un 14. maddesi gereğince ilgili kişi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresi içinde başvuruya cevap almaması hâllerinde; DUOSİS tarafından verilen cevabın eline geçmesi tarihinden itibaren otuz ve her durumda başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir. 

16. DUOSİS Tarafından Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler 

DUOSİS, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. 

DUOSİS, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına kişisel veri sahibine başvurusu ile ilgili sorular yöneltebilir.