KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI (İMHA ŞARTLARI)

KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ tarafından, KVKK’nın 7.maddesi ve Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri gereğince işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel veriler re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin imhası; verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir.

 

  1. Kişisel Verilerin İmhası

Kişisel verilerin imhası; verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir.  Veri sorumlusu tarafından mevzuata uygun olarak seçeneklerin değerlendirilmesi sonucunda kişisel verinin hangi yöntem kullanılarak imha edileceği belirlenir. Bu yöntemlerle ilgili ayrıntılı açıklama aşağıda bilginize sunulmuştur.

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi sürecinde, yasal saklama süreleri göz önünde bulundurularak silme işlemine konu olacak kişisel veriler belirlenir.

KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder. Bu garanti, KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ’n sorumluluğu altındadır.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Yok etme işlemi, KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ’n verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.

Kâğıt ve mikrofiş ortamları için bu işlem gerçekleştirilirken ortamı kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilecektir.

Bu işlemler sırasında KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ çalışanları ve ilgili departmanlar yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ gerekli her türlü teknik ve idari tedbiri alacaktır.

Anonim hale getirme işlemi, KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ‘n kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ, ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesini engelleyerek bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar.

Verilerin anonimleştirilmesi sırasında KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanabilir.

  1. Kişisel Verilerin İmha Yöntemleri ve Süreci

KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ işbu Politikadaki kişisel verilerin silinmesi ve yok edilmesine yönelik tüm yöntemleri tanımlar ve bu yöntemlerin yürütmekten sorumludur.

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 7 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.

Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

Örnek: Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

3.     Saklama ve İmha süreleri

Veri saklama süreleri için, veri sahibi ve sorumlusunun kişisel veri işleme envanterini referans olarak alması gerekir. Gerekli silme prosedürlerini planlamak için hazırlanan saklama programı, kişisel verilerin yaşam döngüsünü yönetmek için kullanılır.

Yasal saklanma ve imha süresinin sona ermesinin ardından fiziksel ve elektronik veriler periyodik olarak imha edilmelidir. KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ, son kullanma tarihinden sonra ilk periyodik imha operasyonundaki imha edilmesi gereken kişisel verileri tespit ederek imha eder.

Tüm kişisel veriler için periyodik kontrol süreçleri ve gerekli imha işlemleri 6 ayda bir yapılır. Tahrip edilmiş kişisel veriler ile ilgili tüm işlemlerin 3 yıl süreyle denetim kaydı tutulur ve saklanır.

  1. Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci

Veri sahipleri KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ’n kendi kişisel verilerini silme veya imha etmesini istediğinde, KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ kişisel veri işleme koşullarının mevcut durumunu kontrol eder ve buna göre harekete geçer.Tüm kişisel veri işleme koşulları tükendiyse, talebe konu olan kişisel veriler silinecek, imha edilecek veya anonim hale getirilecektir. KBB ASYA SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ, ilgili kişinin talebini, Kanun’un 13/2 maddesine göre otuz gün içinde sonlandırır ve ilgili kişiyi bilgilendirir. 5.     İmha Standartları

Veri sorumlusu mevzuat çerçevesinde belirlenen şartlara uygun olarak kişisel veri saklama ve imha süreçlerini belirler. Saklama ve imha standartlarının güncel olmasını sağlar.