Kişisel Verileri Saklama ve İmha Politikası

KİŞİSEL VERİLERİ SAKLAMA ve İMHA POLİTİKASI

1.AMAÇ VE KAPSAM

Ä°ÅŸbu KiÅŸisel Verileri Saklama ve Ä°mha Politikası (“Politika”), Etap Sigorta Aracılık Hizmetleri Ltd. Åžti.(“Etap Sigorta”) olarak veri sorumlusu sıfatıyla elimizde bulundurduÄŸumuz kiÅŸisel verilerin 6698 sayılı KiÅŸisel Verilerin Korunması Kanunu ve sair mevzuat uyarınca saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine iliÅŸkin Etap Sigorta tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müÅŸterilerimizin ve herhangi bir nedenle Etap Sigorta nezdinde kiÅŸisel verisi bulunan tüm gerçek kiÅŸilerin kiÅŸisel verileri KiÅŸisel Verilerin Ä°ÅŸlenmesi ve Korunması Politikası ve iÅŸbu KiÅŸisel Verileri Saklama ve Ä°mha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

2.KISALTMALAR VE TANIMLAR

Alıcı Grubu: Veri sorumlusu tarafından kiÅŸisel verilerin aktarıldığı gerçek veya tüzel kiÅŸi kategorisi.

Açık Rıza: Belirli bir konuya iliÅŸkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: KiÅŸisel verilerin, baÅŸka verilerle eÅŸleÅŸtirilerek dahi hiçbirsurette kimliÄŸi belirli veya belirlenebilir bir gerçek kiÅŸiyle iliÅŸkilendirilemeyecek hale getirilmesi.

Çalışan: Etap Sigorta personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diÄŸer ortamlar.

Hizmet SaÄŸlayıcı: Etap Sigortaile belirli bir sözleÅŸme çerçevesinde hizmet saÄŸlayan gerçek veya tüzel kiÅŸi.

Ä°lgili KiÅŸi: KiÅŸisel verisi iÅŸlenen gerçek kiÅŸi.

Ä°lgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kiÅŸi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doÄŸrultusunda kiÅŸisel verileri iÅŸleyen kiÅŸiler.

Ä°mha: KiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumlu kişidir.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla iÅŸlenen kiÅŸisel verilerin bulunduÄŸu her türlü ortam.

KiÅŸisel Veri: KimliÄŸi belirli veya belirlenebilir gerçek kiÅŸiye iliÅŸkin her türlü bilgi.

KiÅŸisel Veri Ä°ÅŸleme Envanteri: Veri sorumlularının iÅŸ süreçlerine baÄŸlı olarak gerçekleÅŸtirmekte oldukları kiÅŸisel verileri iÅŸleme faaliyetlerini; kiÅŸisel verileri iÅŸleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kiÅŸi grubuyla iliÅŸkilendirerek oluÅŸturdukları ve kiÅŸisel verilerin iÅŸlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kiÅŸisel verileri ve veri güvenliÄŸine iliÅŸkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

KiÅŸisel Verilerin Anonim Hale Getirilmesi: KiÅŸisel verilerin, baÅŸka verilerle eÅŸleÅŸtirilerek dahi hiçbir surette kimliÄŸi belirli veya belirlenebilir bir gerçek kiÅŸiyle iliÅŸkilendirilemeyecek hâle getirilmesi.

KiÅŸisel Verilerin Ä°ÅŸlenmesi: KiÅŸisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, deÄŸiÅŸtirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleÅŸtirilen her türlü iÅŸlem.

KiÅŸisel Verilerin Silinmesi:KiÅŸisel verilerin ilgili kullanıcılar için hiçbir ÅŸekilde eriÅŸilemez ve tekrar kullanılamaz hale getirilmesi.

KiÅŸisel Verilerin Yok Edilmesi: KiÅŸisel verilerin hiç kimse tarafından hiçbir ÅŸekilde eriÅŸilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi iÅŸlemi.

Kurul: KiÅŸisel Verileri Koruma Kurulu

Özel Nitelikli KiÅŸisel Veri: KiÅŸilerin ırkı, etnik kökeni, siyasi düÅŸüncesi, felsefi inancı, dini, mezhebi veya diÄŸer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliÄŸi, saÄŸlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik Ä°mha:Kanun’da yer alan kiÅŸisel verilerin iÅŸlenme ÅŸartlarının tamamının ortadan kalkması durumunda KiÅŸisel Verileri Saklama ve Ä°mha Politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleÅŸtirilecek silme, yok etme veya anonim hale getirme iÅŸlemi.

Veri Ä°ÅŸleyen: Veri sorumlusunun verdiÄŸi yetkiye dayanarak veri sorumlusu adına kiÅŸisel verileri iÅŸleyen gerçek veya tüzel kiÅŸi.

Veri Kayıt Sistemi: KiÅŸisel verilerin belirli kriterlere göre yapılandırılarak iÅŸlendiÄŸi kayıt sistemi.

Veri Sorumlusu: KiÅŸisel verilerin iÅŸleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kiÅŸi.

Veri Sorumluları Sicil Bilgi Sistemi (VERBÄ°S): Veri sorumlularının Sicile baÅŸvuruda ve Sicile iliÅŸkin ilgili diÄŸer iÅŸlemlerde kullanacakları, internet üzerinden eriÅŸilebilen, KiÅŸisel Verileri Koruma Kurumu tarafından oluÅŸturulan ve yönetilen biliÅŸim sistemi.

Yönetmelik: 8.10.2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan KiÅŸisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

3.SORUMLULUK VE İRTİBAT KİŞİSİ

Etap Sigorta tarafından belirlenen irtibat kiÅŸisi, ilgili kiÅŸilerin verilerinin hukuka, KiÅŸisel Verilerin Ä°ÅŸlenmesi ve Korunması Politikasına ve KiÅŸisel Verileri Saklama ve Ä°mha Politikasına uygun olarak iÅŸlenmesi, saklanması ve imha edilmesi için gerekli iÅŸlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir. Bu baÄŸlamda Ä°rtibat kiÅŸisi, Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araÅŸtırma, risk belirleme çalışmalarını yönlendirmek; Kanun, KiÅŸisel Verilerin Ä°ÅŸlenmesi ve Korunması Politikası ve KiÅŸisel Verileri Saklama ve Ä°mha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek, ilgili kiÅŸilerin baÅŸvurularının incelenmesi ve deÄŸerlendirilmesi, saklama ve imha süreçlerinin yürütülmesi ve denetiminin yapılması ve tüm iÅŸ ve iÅŸlemlerin gerektiÄŸinde Åžirket yönetimine raporlanmasından sorumludur.

Ayrıca Ä°rtibat KiÅŸisi, alınmakta olan teknik ve idari tedbirlerin Etap Sigorta çalışanları tarafından gereÄŸi gibi uygulanması, bölüm çalışanlarının eÄŸitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmesinin önlenmesi, kiÅŸisel verilere hukuka aykırı olarak eriÅŸilmesinin önlenmesi ve kiÅŸisel verilerin hukuka uygun saklanmasının saÄŸlanması amacıyla kiÅŸisel veri iÅŸlenen tüm ortamlarda veri güvenliÄŸini saÄŸlamaya yönelik teknik ve idari tedbirlerin alınması konularında aktif rol üstlenir.

4.KAYIT ORTAMLARI

KiÅŸisel veriler, Etap Sigorta tarafından aÅŸağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir ÅŸekilde saklanır.

Elektronik Ortamlar

  • Sunucular (Etki alanı, yedekleme, e-posta, Veri tabanı, web, dosya paylaşım, vb.)
  • Yazılımlar (ofis yazılımları, portal vb.)
  • Bilgi güvenliÄŸi cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti-virüs vb.)
  • KiÅŸisel bilgisayarlar (Masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Optik diskler (CD, DVD vb.)
  • Çıkartılabilir bellekler (USB, Hafıza Kartı, Hard Disk vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi

Elektronik Olmayan Ortamlar

  • Kâğıt
  • Manuel veri kayıt sistemleri (iÅŸ formları vb.)
  • Yazılı, basılı, görsel ortamlar

5.SAKLAMA VE Ä°MHAYA Ä°LÄ°ÅžKÄ°N AÇIKLAMALAR

Etap Sigorta tarafından; çalışanlar, müÅŸteriler, ziyaretçiler ve hizmet saÄŸlayıcı olarak iliÅŸkide bulunanlar gibi üçüncü kiÅŸilerin, ÅŸirket ve kuruluÅŸların çalışanlarına ait kiÅŸisel veriler Kanun’a uygun olarak saklanır ve imha edilir.

4.1 Saklamaya ve Ä°mhaya Ä°liÅŸkin Genel Ä°lkeler

4.1 Saklamaya ve Ä°mhaya Ä°liÅŸkin Genel Ä°lkeler

  • KiÅŸisel verilerin saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve iÅŸbu Politikaya tamamen uygun hareket edilmektedir.
  • KiÅŸisel verilerin saklanması, silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm iÅŸlemler Etap Sigorta tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diÄŸer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.
  • Kurul tarafından aksine bir karar alınmadıkça, kiÅŸisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Etap Sigorta tarafından seçilmektedir. Ancak, Ä°lgili KiÅŸinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
  • Kanun’un 5. ve 6. maddelerinde yer alan kiÅŸisel verilerin iÅŸlenme ÅŸartlarının tamamının ortadan kalkması halinde, kiÅŸisel veriler Etap Sigorta tarafından resen veya ilgili kiÅŸinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta Ä°lgili KiÅŸi tarafından Etap Sigortaya baÅŸvurulması halinde baÅŸvuru yanıtlama süreci iÅŸletilir. Bu doÄŸrultuda;
  • -Ä°letilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır.
  • -Talebe konu verilerin üçüncü kiÅŸilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kiÅŸiye bildirilmekte ve üçüncü kiÅŸiler nezdinde gerekli iÅŸlemlerin yapılması temin edilmektedir.

4.2 Saklamayı Gerektiren Hukuki Sebepler

Ä°lgili kiÅŸilere ait kiÅŸisel veriler, Etap Sigorta tarafından özellikle (i) Etap Sigorta faaliyetlerinin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diÄŸer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Saklamayı gerektiren sebepler aÅŸağıdaki gibidir:

  • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
  • KiÅŸisel verilerin sözleÅŸmelerin kurulması ve ifası ile doÄŸrudan doÄŸruya ilgili olması nedeniyle saklanması,
  • KiÅŸisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • KiÅŸisel verilerin kiÅŸilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Etap Sigorta meÅŸru menfaatleri için saklanmasının zorunlu olması,
  • KiÅŸisel verilerin Etap Sigortanın herhangi bir hukuki yükümlülüÄŸünü yerine getirmesi amacıyla saklanması,
  • Mevzuatta kiÅŸisel verilerin saklanmasının açıkça öngörülmesi,

Etap Sigorta bünyesinde tutulan kiÅŸisel veriler, Kanun ve Etap Sigorta KiÅŸisel Verilerin Ä°ÅŸlenmesi ve Korunması Politikası (Ä°lgili politikaya web sitesinden ulaşılabilir.) uyarınca, burada belirtilen amaç ve nedenlerle ilgili mevzuatta öngörülen süre kadar saklanmaktadır.

4.3 İmhayı Gerektiren Sebepler

KiÅŸisel veriler;

  • Ä°ÅŸlenmesine esas teÅŸkil eden ilgili mevzuat hükümlerinin deÄŸiÅŸtirilmesi veya ilgası,
  • Taraflar arasında sözleÅŸmenin hiç kurulmamış olması, sözleÅŸmenin geçerli olmaması, sözleÅŸmenin sona ermesi veya feshi akabinde ilgili mevzuatta belirlenen asgari saklama süresinin dolması,
  • Veri iÅŸlemenin hukuka ve dürüstlük kuralına aykırı olması,
  • Kanun’un 5. ve 6. maddelerindeki kiÅŸisel verilerin iÅŸlenmesini gerektiren ÅŸartların ortadan kalkması,
  • KiÅŸisel verileri iÅŸlemenin sadece açık rıza ÅŸartına istinaden gerçekleÅŸtiÄŸi hallerde, ilgili kiÅŸinin açık rızasını geri alması,
  • Kanun’un 11. maddesi gereÄŸi ilgili kiÅŸinin hakları çerçevesinde kiÅŸisel verilerinin silinmesi ve yok edilmesine iliÅŸkin yaptığı baÅŸvurunun Etap Sigorta tarafından kabul edilmesi,
  • Etap Sigortanın, ilgili kiÅŸi tarafından kiÅŸisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan baÅŸvuruyu reddetmesi, verdiÄŸi cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a ÅŸikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  • KiÅŸisel verilerin saklanmasını gerektiren azami sürenin geçmiÅŸ olması ve kiÅŸisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir ÅŸartın mevcut olmaması

durumlarında, Etap Sigorta tarafından yahut ilgili kiÅŸinin talebi üzerine, açık rızanın geri alınması halinde ilgili kiÅŸinin talebinin kabulü tarihinden itibaren silinir, yok edilir veya anonim hale getirilir.

4.4 Saklama ve Ä°mha Süreleri

Etap Sigorta tarafından Kanun ve diÄŸer ilgili mevzuat hükümlerine uygun olarak elde edilen kiÅŸisel verilerin saklama ve imha sürelerinin tespitinde aÅŸağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır.

  • Mevzuatta söz konusu kiÅŸisel verinin saklanmasına iliÅŸkin olarak bir süre öngörülmüÅŸ ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aÅŸağıdaki madde kapsamında iÅŸlem yapılır.
  • Söz konusu kiÅŸisel verinin saklanmasına iliÅŸkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına iliÅŸkin olarak herhangi bir süre öngörülmemiÅŸ olması durumunda sırasıyla;
  • KiÅŸisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kiÅŸisel veriler ve özel nitelikli kiÅŸisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduÄŸu tespit edilen tüm kiÅŸisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliÄŸi ve saklanmasının Etap Sigorta nezdindeki önem derecesine göre belirlenir.
  • Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluÄŸu örneÄŸin; verinin saklanmasında Etap Sigortanın meÅŸru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teÅŸkil edebileceÄŸi tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
  • Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüÅŸ olan istisnalardan hangisi/hangileri kapsamında deÄŸerlendirilebileceÄŸi tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Etap Sigorta tarafından tespit edilen saklama ve imha süreleri, ilgili mevzuat hükümlerine dayanmaktadır. Söz konusu saklama süresinin bitimini takip eden ilk periyodik imha süresinde imhası gerçekleÅŸtirilmektedir.

Ä°ÅŸ Kanunu, SGK kapsamında saklanılan veriler ve iÅŸ kazası/meslek hastalığına iliÅŸkin bir talepte/davada kullanılabilecek dokümanlarda yer alan kiÅŸisel veriler, çalışan ile iÅŸ iliÅŸkisinin sona ermesine müteakip 10 yıl sonra, Türk Ticaret Kanunu kapsamında saklanılan veriler, ilgili evrak tarihinin bir sonraki yılından itibaren 10 yıl sonra silinir. Ä°lgili kiÅŸisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması durumunda kiÅŸisel veri, dava zaman aşımı müddeti bitimini takip eden ilk periyodik imha süresinde imha edilir.

Etap Sigortanın ilgili kiÅŸisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereÄŸi kiÅŸisel veri için mevzuatta öngörülen saklama süresinden fazla ise veya ilgili konuya iliÅŸkin dava zamanaşımı süresi kiÅŸisel verinin belirtilen sürelerden fazla saklanmasını gerektiriyorsa, yukarıda belirtilen süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.

4.5 Periyodik Ä°mha Süresi

YönetmeliÄŸin 11. maddesi gereÄŸince Etap Sigorta, periyodik imha süresini 6 ay olarak belirlemiÅŸtir. Buna göre, Etap Sigorta nezdinde her yıl Ocak ve Temmuz aylarının son gününe kadar periyodik imha iÅŸlemi gerçekleÅŸtirilir.

Saklama süresi dolan kiÅŸisel veriler, yukarıdaki tabloda yer alan imha süreleri çerçevesinde, belirlenen periyodlarla iÅŸbu Politikada yer verilen usullere uygun olarak silinir, yok edilir veya anonim hale getirilir. KiÅŸisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün iÅŸlemler kayıt altına alınır ve söz konusu kayıtlar, diÄŸer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

4.6 Ä°lgili KiÅŸinin BaÅŸvurusu

Ä°lgili kiÅŸi, Etap Sigortaya baÅŸvurarak kendisine ait kiÅŸisel verilerin silinmesini veya yok edilmesini talep edebilir. Talep edildiÄŸinde ilgili kiÅŸinin;

  • KiÅŸisel verileri iÅŸleme ÅŸartlarının tamamı ortadan kalkmışsa talep yerine getirilir.
  • KiÅŸisel verileri iÅŸleme ÅŸartlarının tamamı ortadan kalkmış ve kiÅŸisel veriler üçüncü kiÅŸilere aktarılmışsa, Etap Sigorta silinme talebiyle ilgili verinin aktarıldığı kiÅŸiyi bilgilendirir, Etap Sigorta ve bu kiÅŸi gerekli iÅŸlemleri yapar.
  • KiÅŸisel verileri iÅŸleme ÅŸartlarının tamamı ortadan kalkmamışsa, Etap Sigorta gerekçesini açıklayarak bu talebi reddedilebilir.

Her durumda talebin kabulü, kısmen kabulü veya ret kararlarına iliÅŸkin cevaplar en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda ilgili kiÅŸiye bildirilir.

6.KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN İDARİ VE TEKNİK TEDBİRLER

KiÅŸisel verilerin güvenli bir ÅŸekilde saklanması, hukuka aykırı olarak iÅŸlenmesi ve eriÅŸilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Etap Sigorta tarafından alınmış olan tüm idari ve teknik tedbirler aÅŸağıda sayılmıştır.

5.1 Ä°dari Tedbirler

Etap Sigorta, idari tedbirler kapsamında;

  • Saklanan kiÅŸisel verilere eriÅŸim, iÅŸ tanımı gereÄŸi eriÅŸmesi gerekli personel ile sınırlandırır. EriÅŸimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  • Ä°ÅŸlenen kiÅŸisel verilerin hukuka aykırı yollarla baÅŸkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirir.
  • KiÅŸisel verilerin paylaşılması ile ilgili olarak, kiÅŸisel verilerin paylaşıldığı kiÅŸiler ile kiÅŸisel verilerin korunması ve veri güvenliÄŸine iliÅŸkin çerçeve sözleÅŸme imzalanır yahut mevcut sözleÅŸmesine eklenen hükümler ile veri güvenliÄŸi saÄŸlanır.
  • KiÅŸisel verilerin iÅŸlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kiÅŸisel verilerin korunması mevzuatı ve veri güvenliÄŸi kapsamında gerekli eÄŸitimleri verir.
  • Kendi tüzel kiÅŸiliÄŸi nezdinde Kanun hükümlerinin uygulanmasını saÄŸlamak amacıyla gerekli denetimleri yapar veya yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
  • KiÅŸisel verilerin bulunduÄŸu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını saÄŸlar ve bu ortamlara yetkisiz giriÅŸ çıkışları engeller.
  • KiÅŸisel verilerin iÅŸlenmesi, korunması, saklanması ve imhası bakımından Kanun tarafından alınması gerekli görülen tüm tedbirlere yer verilen gerekli süreç ve politika dokümanları oluÅŸturulur.

5.2 Teknik Tedbirler

Etap Sigorta teknik tedbirler kapsamında;

  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
  • Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluÅŸturulmasını saÄŸlar.
  • Çalışanların kiÅŸisel verilere eriÅŸim yetkilerinin kontrol altında tutulmasını saÄŸlar.
  • KiÅŸisel verilerin yok edilmesini geri dönüÅŸtürülemeyecek ÅŸekilde saÄŸlar.
  • Kanun’un 12. maddesi uyarınca, kiÅŸisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliÄŸi gereksinimlerini saÄŸlayacak ÅŸekilde ÅŸifreli veya kriptografik yöntemler ile korur.
  • Verilerin bulunduÄŸu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını saÄŸlar.
  • Özel nitelikli kiÅŸisel verilere uzaktan eriÅŸim gereken hallerde en az iki kademeli kimlik doÄŸrulama sistemi saÄŸlar.
  • Özel nitelikli kiÅŸisel verilerin aktarıldığı durumlarda;
  • o Verilerin e-posta ile aktarılması gerekiyor ise bunların ÅŸifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,
  • o Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile ÅŸifrelenmesini,
  • o Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleÅŸiyor ise sunucular arasında VPN kurularak veya FTP yöntemiyle aktarmanın saÄŸlanmasını,
  • o Verilerin kâğıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini saÄŸlar.

7.Ä°MHA YÖNTEMLERÄ°

Etap Sigorta tarafından kullanılan silme, yok etme ve anonim hale getirme tekniklerine aşağıda yer verilmiştir.

7.1.Silme Yöntemleri

Matbu Ortamda Tutulan KiÅŸisel Veriler Ä°çin Silme Yöntemleri

Karartma: Matbu ortamda bulunan kiÅŸisel veriler karartma yöntemi kullanılarak silinir. Karartma iÅŸlemi, ilgili evrak üzerindeki kiÅŸisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak ÅŸekilde sabit mürekkep kullanılarak görünemez hale getirilmesi ÅŸeklinde yapılır.

Bulut veya Yerel Dijital Ortamda Tutulan KiÅŸisel Veriler Ä°çin Silme Yöntemleri

Yazılımdan güvenli olarak silme: Bulut ortamda ya da yerel dijital ortamlarda tutulan kiÅŸisel veriler bir daha kurtarılamayacak ÅŸekilde dijital komutla silinir. Bu ÅŸekilde silinen verilere tekrar ulaşılamaz.

7.2.Yok Etme Yöntemleri

Matbu Ortamda Tutulan KiÅŸisel Veriler Ä°çin Yok Etme Yöntemleri

Fiziksel yok etme: Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek ÅŸekilde yok edilir.

Yerel Dijital Ortamda Tutulan KiÅŸisel Veriler Ä°çin Yok Etme Yöntemleri

Fiziksel yok etme: KiÅŸisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi iÅŸlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öÄŸütücüden geçirmek gibi iÅŸlemlerle verilerin eriÅŸilmez kılınması saÄŸlanır.

De-manyetize etme: Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması iÅŸlemidir.

Üzerine yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluÅŸan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

Bulut Ortamda Tutulan KiÅŸisel Veriler Ä°çin Yok Etme Yöntemleri

Yazılımdan güvenli olarak silme: Bulut ortamda tutulan kiÅŸisel veriler bir daha kurtarılamayacak ÅŸekilde dijital komutla silinir ve bulut biliÅŸim hizmet iliÅŸkisi sona erdiÄŸinde kiÅŸisel verileri kullanılır hale getirmek için gerekli ÅŸifreleme anahtarlarının tüm kopyaları yok edilir. Bu ÅŸekilde silinen verilere tekrar ulaşılamaz.

7.3.AnonimleÅŸtirme Yöntemleri

DeÄŸiÅŸkenleri çıkarma: Ä°lgili kiÅŸiye ait kiÅŸisel verilerin içerisinde yer alan ve ilgili kiÅŸiyi herhangi bir ÅŸekilde tespit etmeye yarayacak doÄŸrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır. Bu yöntem kiÅŸisel verinin anonim hale getirilmesi için kullanılabileceÄŸi gibi, kiÅŸisel veri içerisinde veri iÅŸleme amacına uygun düÅŸmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.

Bölgesel gizleme: KiÅŸisel verilerin toplu olarak anonim ÅŸekilde bulunduÄŸu veri tablosu içinde istisna durumda olan veriye iliÅŸkin ayırt edici nitelikte olabilecek bilgilerin silinmesi iÅŸlemidir.

GenelleÅŸtirme: Birçok kiÅŸiye ait kiÅŸisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi iÅŸlemidir.

Alt ve üst sınır kodlama / Global kodlama: Belli bir deÄŸiÅŸken için o deÄŸiÅŸkene ait aralıklar tanımlanarak kategorilendirilir. DeÄŸiÅŸken sayısal bir deÄŸer içermiyorsa bu halde deÄŸiÅŸken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan deÄŸerler birleÅŸtirilir.

Mikro birleÅŸtirilme: Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen deÄŸiÅŸkene ait deÄŸerinin ortalaması alınarak alt kümenin o deÄŸiÅŸkenine ait deÄŸeri ortalama deÄŸer ile deÄŸiÅŸtirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuÅŸ olacağından, verinin ilgili kiÅŸiyle iliÅŸkilendirilmesi zorlaÅŸtırılır.

Veri karma ve bozma: KiÅŸisel veri içerisindeki doÄŸrudan ya da dolaylı tanımlayıcılar baÅŸka deÄŸerlerle karıştırılarak ya da bozularak ilgili kiÅŸi ile iliÅŸkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri saÄŸlanır.

8.YÜRÜRLÜK VE GÜNCELLEME

Ä°ÅŸbu Politika, Etap Sigorta kanuni temsilcisi tarafından onaylanır. Tüm çalışanlara duyurularak yürürlüÄŸe girer ve yürürlüÄŸü itibarıyla tüm iÅŸ birimleri, danışmanlar, dış hizmet saÄŸlayıcıları ve kiÅŸisel veri iÅŸleyen herkes için baÄŸlayıcı olacaktır.

Ä°ÅŸbu Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, www.etapsigorta.com.tr internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Etap Sigorta nezdinde saklanır.

Etap Sigorta, Kanun’da yapılan deÄŸiÅŸiklikler, Kurul kararları, sektördeki ya da biliÅŸim alanındaki geliÅŸmeler doÄŸrultusunda iÅŸbu KiÅŸisel Verileri Saklama ve Ä°mha Politikasında deÄŸiÅŸiklik yapma hakkını saklı tutar. Ä°ÅŸbu Politikada yapılan deÄŸiÅŸiklikler derhal metne iÅŸlenir ve deÄŸiÅŸikliklere iliÅŸkin açıklamalar politikanın sonunda açıklanır.

Çalışanların politikanın gereklerini yerine getirip getirmediÄŸinin takibi, iÅŸverenin sorumluluÄŸunda olacaktır. Politikaya aykırı davranış tespit edildiÄŸinde, aykırılığın önemli boyutta olması halinde vakit kaybetmeksizin irtibat kiÅŸisine bilgi verilecektir. Politikaya aykırı davranan çalışan hakkında, iÅŸveren tarafından yapılacak deÄŸerlendirme sonrasında gerekli idari iÅŸlem yapılacaktır.