Kişisel Verilere İlişkin Aydınlatma Metni

Kişisel Verilere İlişkin Aydınlatma Metni

KİTAPZEN - İ.Ş.

KİŞİSEL VERİ SAKLAMA, İMHA VE ANONİMLEŞTİRME POLİTİKASI

 

  1. KAPSAM

 

1.1.  İşbu Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası (‘’Politika’’), Kitapzen - İ. Ş Şirketi’nin (“Kitapzen”) kişisel veri işlediği herhangi işleme dâhil tüm departmanları, çalışanları ve 3. partileri kapsar.

 

1.2.  İşbu Politika Kitapzen’in kişisel veriler üzerinde uygulayacağı tüm imha faaliyetlerini kapsayacak olup, her türlü imha gereksinimi sonucunda uygulanacaktır.

 

1.3.  Bu Politika kişisel veri olmayan veriler için kullanılmayacaktır.

 

1.4.  Konuyla alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda Kitapzen Politika’yı ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.

 

1.5.  İşbu Politika’nın Kitapzen tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Kitapzen uygulayacağı adımları yeniden belirleyebilecektir.

  1. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

Anonim Hale Getirme / Anonimleştirme: Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Anonim Hale Getirilmiş Veri: Başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmiş veriyi ifade eder.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen addır.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan Özel Nitelikli Kişisel Veriler’i de kapsayacaktır).

Kişisel Veri İşleme: Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanterdir.

Kurul: Kişisel Verileri Koruma Kurulu’dur.

Kurum: Kişisel Verileri Verileri Koruma Kurumu’dur.

KVK Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.

KVK Prosedürleri: Şirketin, çalışanların ve Veri Sorumlusu Temsilcisinin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Politika: Kitapzen'in Kişisel Verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile Silme, Yok Etme ve Anonim Hale Getirme işlemi için dayanak yaptığı Kişisel Veri Saklama, İmha ve Anonimleştirme Politikasıdır.

Sicil: Veri Sorumluları Sicilidir.

Silme veya Silinme: Kişisel Verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

Veri Envanteri: Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Veri İşleme faaliyetlerini; Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı Alıcı Grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Verilerin İşlendiği amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Öznesi: Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade etmektedir.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri Sorumlusu Temsilcisi: Şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan çalışanı ifade etmektedir.

Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.

Yok Etme: Kişisel Verilerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

Gizlilik Politikamızda yer alan tanımlar bu Politika için de geçerlidir.

 

  1. AMAÇ

3.1.   İşbu Politika, Kanunun 7.maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan Kişisel Verilerin Silinmesinden, Yok Edilmesinden veya Anonim Hale Getirilmesinden sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve Kitapzen ile Kitapzen'in sözleşmesel olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirleyecektir.

 

3.2.  Yönetmelik uyarınca Kitapzen, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, Kişisel Verileri, uhdesinde bulunan Veri Envanteri’ne uygun bir şekilde saklamak ve gerektiğinde Silmek, Yok Etmek ya da Anonim Hale Getirmek için bir Politika hazırlamak ve bu Politikaya uygun hareket etmek ile yükümlüdür. Bu kapsamda Kitapzen sayılan yükümlülükleri yerine getirmek amacıyla işbu Politika’yı hazırlamıştır.

 

3.3.  Kişisel Verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

 

3.3.1.    Kanunun 4. maddesindeki genel ilkelere ve Yönetmelik’in 7. maddesindeki ilkelere uyulacaktır.

3.3.2.    Kitapzen, işbu Politikayı hazırlamış olmanın tek başına Kişisel Verilerin Yönetmelik, Kanun ve KVK Düzenlemelerine uygun olarak Silindiği, Yok Edildiği veya Anonim Hale Getirildiği anlamına gelmeyeceğini kabul etmektedir.

3.3.3.    Kitapzen, Kişisel Verileri saklarken yahut Silerken, Yok Ederken veya Anonim Hale Getirirken, Kanunun 12. maddesinde yer alan güvenlik tedbirlerine, KVK Düzenlemelerine ve Politikaya uygun hareket edeceğini kabul, beyan ve taahhüt eder.

3.3.4.    Kitapzen, bünyesinde bulundurduğu Kişisel Verilerin amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi sırasında İşbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

 

  1. KAYIT ORTAMLARI

 

4.1.  Kitapzen, işbu Politika ile Kişisel Veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki Kişisel Verileri Politikanın kapsamına dâhil etmeyi kabul eder:

 

4.1.1.    Kitapzen adına kullanılan bilgisayarlar/sunucular

4.1.2.    Ağ cihazları,

4.1.3.    Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri

4.1.4.    Bulut sistemleri

4.1.5.    Mobil telefonlar ve içerisindeki tüm saklama alanları,

4.1.6.    Kağıt,

4.1.7.    Mikrofiş,

4.1.8.    Yazıcı, Parmak izi okuyucu gibi çevre birimler,

4.1.9.    Manyetik bantlar,

4.1.10. Optik diskler,

4.1.11. Flash hafızalar

 

  1. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN DURUMLAR

Aşağıda belirtilen kapsamda bir ihlal olması durumunda Potansiyel Güvenlik ihlal durumu kabul edilerek Kitapzen tarafından aksiyon alınacaktır. Kitapzen, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

 

5.1.  Kişisel Verilerin Saklanmasını Gerektiren Durumlar

Kitapzen; (i) kanunlarda açıkça öngörülmesi, (ii) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (iv) hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması (v) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, (vi) Veri Öznesi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde Kişisel Verileri mevzuata uygun olarak saklamakla yükümlüdür. Kitapzen ayrıca; (i) Açık Rıza alınması, (ii) Kanun’un 5(2) ve 6(3) maddelerinde yer verilen istisnaların bulunması durumunda Kişisel Verileri saklama hakkını haizdir.

5.2.  Kişisel Verilerin İmhasını Gerektiren Durumlar

5.2.1.    Kanun’a Aykırılık

Kitapzen, kişisel verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.

Kitapzen, Kanun’un 5 ve 6. maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;

  1. a)Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin kişisel verilerini saklamaz.
  2. b)Kitapzen, özel nitelikli kişisel verileri sakladığı durumlarda, verileri ilgili mevzuata bağlı kalarak işler. Bu kapsamda Kanun’un 6(4) maddesi kapsamında Kurul tarafından belirlenmiş ya da belirlenecek tedbirleri alır.

 

5.2.2.    Veri İşleme Şartlarının Ortadan Kalkması

Kitapzen, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.

Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Kitapzen İlgilileri, şartların ortadan kalktığı ortamları İşbu Politika’ya uygun bir şekilde ortadan kaldırmakla yükümlüdür.

Kitapzen aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:

  1. a)Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kaldırılması,
  2. b)Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  3. c)Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  4. d)Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
  5. e)Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  6. f)İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun veri sorumlusu temsilcisi tarafından kabulü,
  7. g)Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  8. h)Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
  9. KİŞİSEL VERİLERİN SAKLANMASI, İŞLENMESİ VE İMHASI İÇİN ALINAN TEDBİRLER

Kitapzen, Kişisel Verilerin hukuka uygun şekilde saklanması, işlenmesi ve erişimini sağlamak için korunacak verinin niteliği, teknolojik imkanlar ve uygulama maliyetlerine göre teknik ve idari tedbirler almaktadır.

6.1.  Teknik Tedbirler

Kitapzen tarafından Kişisel Verilerin hukuka aykırı saklanması, işlenmesi ve erişimini engellemek adına alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

6.1.1.  Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

6.1.2. İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak yetki matrisi oluşturulmuş, kişisel hesap yönetimi sistemi kurulmuş ve şifreleme sistemleri aktive edilmiştir.

6.1.3. Bu kapsamda virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve donanımlar kurulmakta, log kayıtları tutulmakta, düzenli yedeklemeler yapılmaktadır.

6.1.4. Ağ güvenliğini sağlamak için gerekli yazılım ve donanım kurulmakta, yetki kontrolleri ve sızma testleri 6 aylık aralıklarla gerçekleştirilmektedir. Bu kapsamda güvenlik duvarları ve saldırı tespit ve önleme sistemleri kullanılmaktadır.

6.1.5. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği veri sorumlusuna raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

6.1.6.  Açık Rıza alınmayan ve kanuni istisnalar arasına girmeyen veriler maskelenerek kullanılmaktadır.

6.1.7. Teknik konularda bilgili personel istihdam edilmektedir.

 

6.2.   İdari Tedbirler

Kitapzen tarafından Kişisel Verilerin hukuka aykırı saklanması, işlenmesi ve erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

6.2.1. Kitapzen çalışanlarını Kişisel Verileri Koruma mevzuatı kapsamında bilgilendirmiş ve bu konuda gerekli eğitimlerden geçirmiştir. Eğitimler kapsamında, çalışanlara rolleri ve sorumlulukları anlatılmış, “yasaklanmadıkça her şey serbest” değil “izin verilmedikçe her şey yasak” prensibi hakkında bilgilendirme yapılmıştır. Çalışanlar ile öğrendikleri Kişisel Verileri KVK Düzenlemelerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda gizlilik sözleşmesi imzalanarak Kişisel Verilerin korunması adına gerekli taahhütler alınmıştır. Bu kapsamda çalışan iş sözleşmeleri ve disiplin yönetmeliklerine Kanun’a uygun hükümler eklenmiştir. Şirket içi organizasyonlarında, bu taahhütlere ve sair gizlilik yükümlülüklerine uyulmaması durumunda işletilecek disiplin süreçleri hazırlanmıştır.

6.2.2.  Kitapzen çalışanlarını 6 aylık aralıklarla bilgilendirmeye devam edeceğini ve bilgilerini güncel tutacağını taahhüt etmektedir.

6.2.3. Sicile bildirim yapılabilmesi için gerekli hazırlıklarını tamamlamıştır.

6.2.4. İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel Verilere erişim ve yetkilendirme süreçleri tasarlanmış ve uygulanmaktadır. 6

6.2.5. Kitapzen tarafından Kişisel Verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

6.2.6. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında işbu Politika kapsamında gerekli düzenlemeleri yapmıştır.

6.2.7. Veri Envanteri hazırlanmış ve Kişisel Verilerin işlenmesi, muhafazası ve aktarılmasına ilişkin sözleşmelerde gerekli hükümlere yer vermiştir.

6.2.8. Kurum İçi Periyodik ve/veya Rastgele Denetimler için gerekli hazırlıklar yapılmıştır. Risk Analizleri gerçekleştirilerek gerekli önlemler alınmıştır.

6.2.9. İhlal durumunda kurumsal iletişim prosedürleri ve bilgilendirme süreçleri işbu Politika’da belirlenmiştir.

 

6.3.  Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Kitapzen, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde görevlendirdiği Veri Sorumlusu Temsilcisi aracılığı ile gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

 

  1. KİŞİSEL VERİLERİN YETKİSİZ BİR ŞEKİLDE İFŞASI

Kitapzen Kanun’da, KVK Düzenlemelerinde ve işbu Politikada yer verilen Kişisel veri güvenliği yükümlülüklerinin ihlali durumunda izlenecek prosedürü işbu Politika kapsamında düzenlemiştir.

 

7.1.  Kitapzen Bünyesinde Gerçekleşen İhlaller

Bir Kitapzen çalışanı herhangi bir ihlal tespit etmesi veya olası bir ihlalle karşılaşması durumunda ilgili departman direktörünü durumdan derhal haberdar eder, ihlalin nasıl farkına varıldığı ve nereden kaynaklandığı konusunda departman sorumlusunu bilgilendirir. Departman direktörü ihlali devam ediyorsa durdurmak ve sona ermişse boyutunu tespit etmek adına ilk önlemleri alır ve Veri Sorumlusu Temsilcisini durumdan haberdar eder. Veri sorumlusu temsilcisi, ihlal karşısında önlem alması için IT departmanından destek alır ve hukuk departmanı ile iletişime geçer. Veri Sorumlusu temsilcisi; ihlalin boyutu, kapsamı ve sonuçlarını raporlayarak Yönetim Kurulu ve Kurum ile paylaşır.

 

7.2.  Üçüncü Kişiler Bünyesinde Gerçekleşen İhlaller

Veri sorumlusu temsilcisi, Kitapzen’nın çalıştığı üçüncü bir kişinin herhangi bir ihlal tespit etmesi veya olası bir ihlalle karşılaşması durumunda, haber verilmesini takip eden 12 saat içerisinde hukuk departmanı ve gerekiyorsa IT departmanı ile iletişime geçer. Veri sorumlusu temsilcisi; ihlalin boyutu, kapsamı ve sonuçları hakkında karşı taraftan elde ettiği bilgileri raporlayarak Yönetim Kurulu ve Kurum ile paylaşır.

 

  1. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİNE İLİŞKİN YÖNTEMLER

Kişisel Verilerin İmhası, verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Kitapzen, Kişisel Verilerin hukuka uygun olarak Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

 

8.1.  Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemi olarak Kitapzen aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:

  • Kağıt ortamında bulunan kişisel veriler bakımından karartma yöntemi ile çizilerek, boyanarak, kesilerek veya silinerek işlem uygulanacaktır.
  • Merkezi sunucuda yer alan ofis dosyaları için kullanıcı(lar)nın erişim hakkı(ları) ortadan kaldırılacaktır.
  • Veri tabanlarında bulunan kişisel bilgilerin bulunduğu satırlar yahut sütunlar ‘Delete’ komutu ile silinecektir.
  • Bulut sistemindeki veriler silme komutu ile silinecektir.
  •        Taşınabilir medyada bulunan kişisel veriler şifreli olarak saklanacak ve gerektiğinde bu ortamla uygun yazılımlar kullanılarak silinecektir.
  • Gerekli olduğu zaman bir uzman tarafından yardım alınarak güvenli olarak silinecektir.

8.2.   Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok Etme işlemleri sırasında Kitapzen çalışanları ve ilgili departmanlar Veri sorumlusu temsilcisi’ne yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Kitapzen gerekli her türlü teknik ve idari tedbiri alacaktır. Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçı kullanılarak tek tek yok edilmesi gereklidir:

  • Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir.
  • Kağıt İmha Makinesi İle Yok Etme
  • De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.
  • Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.

8.3.  Kişisel Verileri Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Kitapzen kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:

  • Maskeleme (Masking): Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.

  • Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtları arasından çıkarılarak saklanan veriler anonim hale getirilmektedir.
  • Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır.

Örneğin, şirketin futbol takımının yedek listesinde olan ilgili veri sorumluları arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş bırakılması anonimleştirmeyi sağlayacaktır.

  • Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

Örneğin; doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

  • Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir.

Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.

KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.

  1.     KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Kitapzen, kişisel verileri işlendikleri amaç için gerekli olan süre boyunca saklar. Kişisel verilerin esas toplanma amacının veya varsa bu Politikada belirtilen ikincil işleme dayanağının ortadan kalkması halinde kişisel veriler belirtilen süreler boyunca saklanmaya devam edillebilir.

Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler sözleşmedeki tabloda yer alan kişisel verilerin tutulması için azami süre boyunca saklanacaktır. Bu süreler; Kitapzen’in veri kategorileri ve veri sahibi kişi grupları değerlendirilerek; bu değerlendirme sonucu elde edilen verilerin kanunlarda yer alan yükümlülüklerin yerine getirilmesini sağlayacak ve azami Türk Borçlar Kanunu’nda yer alan zamanaşımı süresi (10 yıl) gözetilerek belirlenmiştir.

Bu sürelerin sona ermesi dolayısıyla silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı durumda Kitapzen bu tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir.

  1.     PERİYODİK İMHA SÜRELERİ

Kitapzen'in periyodik imha süresi 6 aydır. Saklama süresi dolan kişisel veriler, işbu Politika’da yer alan imha süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. Söz konusu sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülmeyecek şekilde silinecektir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Periyodik imha sürecinin takibi konusunda Kitapzen verileri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak, süreç boyunca tüm idari ve teknik önlemleri almakla yükümlüdür.

  1.     SAKLAMA VE İMHA SÜRECİ İLE GÖREVLİ VERİ SORUMLUSU TEMSİLCİSİ’NİN GÖREVLERİ VE OLUŞUMU

Kitapzen, kendi bünyesinde, işbu Politika ve bu Politika ile ilişkili diğer politikaları yönetmek üzere Kitapzen Yönetim Kurulu kararı gereğince çalışanlarından konu ile ilgili olarak yeterli donanıma sahip olan bir kişiyi veri sorumlusu temsilcisi tayin etmiştir. Veri sorumlusu temsilcisi’nin görevleri aşağıda belirtilmektedir.

  • Kişisel Verilerin korunması ve İşlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak.
  • Kişisel Verilerin korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını Yönetim Kurulu’nun onayına sunmak.
  • Kanun ve KVK Düzenlemelerine uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri Yönetim Kurulu’nun onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
  • Kişisel Verilerin korunması ve İşlenmesi konusunda Kitapzen içerisinde ve Kitapzen'in iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak.
  • Şirketin Kişisel Veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Yönetim Kurulu’nun onayını sunmak.
  • Kişisel Verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.
  • Kişisel Veri sahiplerinin başvurularını en üst düzeyde karara bağlamak.
  • Kişisel Veri sahiplerinin; Kişisel Veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
  1.     VERİ SAHİPLERİNİN TALEP ETMESİ DURUMUNDA SİLME VE YOK ETME SÜRECİ

Veri sahiplerinin Kitapzen’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kitapzen, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Kitapzen ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

  1.     KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI

Veri sahipleri işbu Politika’nın 12 numaralı başlığında yer alan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Kitapzen’e ücretsiz olarak iletebileceklerdir:

  1. a) info@kitapzen.com e-posta adresine gönderecekleri bir e-posta ile
  2. b) kitapzen.com’da yer alan başvuru formu ile (Başvuru Formuna ulaşmak için linke tıklayabilirsiniz)

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

  1.     KİŞİSEL VERİ SAHİBİNİN KVK KURULU’NA ŞİKÂYETTE BULUNMA HAKKI

Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Kitapzen'in cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.

  1.  KİTAPZEN’İN BAŞVURUDA BULUNAN KİŞİSEL VERİ SAHİBİNDEN TALEP EDEBİLECEĞİ BİLGİLER

Kitapzen, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Kitapzen, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

  1.  POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

İlgili mevzuatta yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde Kitapzen tarafından İşbu Politika’da değişiklik yapılabilir.

Kitapzen, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı eposta yolu ile çalışanlarıyla paylaşacak ve kurumsal internet üzerinden çalışanlarının erişimine sunacaktır.

  1. POLİTİKA’NIN YÜRÜRLÜK TARİHİ

Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası’nın işbu versiyonu 09.10.2018 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.

Kapat