4. Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Alınan Teknik ve İdari Tedbirler

Binax, istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Binax’nin güvenliğinin sağlanması Binax’nin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel verileri işlemektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm veriler Binax’ne ait servera kaydedilmektedir.

Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Binax bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Binax tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

5. Saklama ve İmhaya İlişkin Alınan Tedbirler

Bir veri sorumlusu olarak Binax, Kanun’un 12. maddesi uyarınca kişisel verilerin:

• Hukuka aykırı olarak işlenmesini önlemek,
• Hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak amacıyla,

uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Saklamaya İlişkin Alınan Teknik Tedbirler

• IT olay yönetimi ile gerçek zamanlı analizler ile bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Erişim yetkileri yetki matrisi aracılığıyla sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Binax bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için donanımsal ve yazılımsal önlemler alınmaktadır.
• Alınan teknik önlemler periyodik olarak kontrol edilmekte ve güncellenmektedir.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar ve güvenli kayıt tutma kullanılmaktadır.

Saklamaya İlişkin Alınan İdari Tedbirler

• Çalışanlar, kişisel verilere hukuka aykırı erişimin engellenmesi için alınacak teknik tedbirler konusunda eğitilmektedir.
• Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Şirket içi periyodik ve rastgele denetimler yapılmaktadır.

İmhaya İlişkin Alınan Teknik Tedbirler

• Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır.
• İmha süreçlerinin güvenli şekilde yürütülebilmesi amacıyla deneyimli personel görevlendirilmektedir.

İmhaya İlişkin Alınan İdari Tedbirler

• Veri envanteri hazırlanmış ve saklanan kişisel verilerin imha yöntemleri belirlenmiştir.
• Şirket içi denetimler yapılarak süreçler izlenmektedir.
• İmhaya ilişkin kayıtlar tutulmakta ve prosedürlere uygun hareket edilmektedir.

6. Periyodik İmha Süreleri

Binax saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde imha eder. Binax, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasına, prosedürlere ve şirketin iş akışına uygun olarak belirlenir. Bu süre her halde altı ayı geçemez. Binax kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

7. Kişisel Verilerin İmha Edilmesine İlişkin Alınan Tedbirler

Binax ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya anonim hale getirebilir. Kişisel verilerin silinmesi veya anonim hale getirilmesi akabinde ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişemeyecek ve kullanamayacaktır. Binax tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin etkin bir veri takip süreci yönetilecektir. Yürütülen süreç sırası ile silinecek veya anonim hale getirilecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve hemen akabinde verilerin silinmesi veya anonim hale getirilmesi olacaktır.

Binax kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Yöntemler

a. Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemi olarak Binax aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:

• Kâğıt ortamında bulunan kişisel veriler karartma yöntemi ile çizilerek, boyanarak, kesilerek veya silinerek işlem uygulanacaktır.
• Merkezi dosyada yer alan ofis dosyaları için kullanıcı(lar)nın erişim hakkı(ları) ortadan kaldırılacaktır.
• Veri tabanlarında veya dosya depolama sistemlerinde bulunan kişisel bilgilerin bulunduğu satırlar veya dosyalar ‘Delete’ komutu ile silinecektir.
• Gerekli olduğu zaman bir uzman tarafından yardım alınarak güvenli olarak silinecektir.

b. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

• Fiziksel Yok Etme
• Kâğıt İmha Makinesi ile Yok Etme
• De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.

c. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Binax kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:

• Maskeleme (Masking): Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
• Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkarılarak saklanan veriler anonim hale getirilmektedir.
• Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır.
• Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi, açık adres yerine ikamet edilen bölgenin belirtilmesi.
• Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/-) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.

Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.

Binax kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re’sen karar alabilecek ve seçmiş olduğu kategoriye göre kullanacağı yöntemi de serbestçe belirleyebilecektir. Ayrıca Yönetmelik’in 13. maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda Binax serbesti içinde olacaktır.

8. Kişisel Verileri Saklama ve İmha Süreleri

Kişisel veriler, Politika'nın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise anonim hale getirilecek veya yok edilecektir.