Genel Veri Erişimi, Saklama ve İmha Politikası
İlgili Birim: Bilgi Güvenliği, GDPR ve Teknoloji Komitesi
Politika 01.08.2018 tarihinde yürürlüğe girmiştir.
Kapsam :
GDPR Komitesi bu politikadan sorumludur. Bu politikanın amacı, Next4biz Bilgi Teknolojileri’nin Kayıt Saklama ve İmha politikası açısından yönetişimini sağlamak ve verilerini (Ör: belgeler, arşivler ve elektronik kayıtlar) nasıl yöneteceğini tanımlamaktır. Bu Kayıt Tutma ve İmha Politikası, Türkiye Cumhuriyeti yasalarının yasal gerekliliklerine uygun olarak hazırlanmıştır. (6698 sayılı KVKK Kanunu)
Dahili kullanımda olan ve “Gerekli/Önemli/Hassas” olarak sınıflandırılmayan bilgi ve belgeler, kişisel veri kapsamında olmayan veriler, işletme ihtiyaçları nedeniyle fonksiyonel kullanımda olan veriler ile mevcut verilerden türetilmekte olan bilgileri içeren tüm belge veya elektronik kayıtlar önemli kabul edilmez.
Erişim, Saklama ve İmha
Erişim:
Next4biz Bilgi Teknolojileri, Gizlilik Politikamız uyarınca kişisel ve diğer tüm verileri işlerken veri koruma ilkelerine uyar. Bu ilkeler aşağıdaki başlıklarla ilgilidir:
- Yasal uyum,
- Şeffaflık,
- İzlenebilirlik.
İşlenen verilerin, yasalara uygun şekilde, şeffaf ve izlenebilir bir yapıda erişimi hedeflenir.
Kayıt
Next4biz personeli tarafından Next4biz ürün ve hizmetleri kapsamında çeşitli faaliyet veya işlevlerin yerine getirilmesi sırasında, iletim veya depolama ortamına, depolama yerine veya önemine bakılmaksızın üretilen ve alınan tüm bilgiler bir kayıt olarak kabul edilir. Ayrıca Next4biz veri işleyen statüsünde hizmet verdiği platformlar vasıtasıyla veri işler. Örneğin, kayıt raporları, mektupları, e-postaları, grafikleri, verileri, el yazısı notları, müşteri işlem kayıtlarını, müşteri talimatlarını, tesis belgelerini, üçüncü şahıslardan alınan mektupları, faturaları, doldurulmuş başvuru formları, mali kayıtlar, siciller, ihaleler vb kayıtlar ve diğer belgeler bu kapsama girer.
Kayıt Saklama Süresi ve İmha
Saklama süresi, kaydın ticari sebepler ve verilen hizmet kapsamında gerekli olduğu veya geçerli düzenleyici regülasyonlar kapsamında tutulması gereken süreyi belirtir. Gerçek ve tüzel kişiler veya diğer şirketlere ait kayıtlar açısından, saklama süresi verilen hizmet ile başlar. Hizmetin sona ermesi ile birlikte periyodik imha süreçleri işletilir. (Kontratlarda aksi belirtilmedikçe.) KVKK Politikasında yer alan süreçlerin dışında, Next4biz veri işleyen sıfatıyla, hizmet verdiği kurumlardan ve tedarikçilerinden gelen veri anonimleştirme taleplerini yazılı alır. Komite değerlendirmesine alınan bu talepler, sözleşmelerine uygun olarak ele alınır ve gerekli anonimleştirme veya silme sağlanır.
Kayıt Saklama ve İmha Programı
Kayıtlar için Saklama ve İmha Programı şirket operasyonları için yürütülür. Ayrıca, KVKK düzenlemesi için anonimleştirme (periyodik) prosedürleri ilgili prosedürde tanımlanmıştır.
Şirketimiz topladığı ve sakladığı kişisel verileri Kanundan doğan yükümlülükleri süresince veya sözleşmeden doğan edim yükümlülüğü ve haklarının korunmasının gerektirdiği yasal zorunluluklar süresince saklamaktadır. Bu amaç ve yükümlülüğün gerçekleşmesi veya ortadan kalkması veya müşterimiz üzerinden veya doğrudan ilgili kişinin talebi üzerine, Kurumun veri bütünlüğünün bozulmaması garanti altına alınmak suretiyle, kişisel veri somut veri bazında talebin ulaşması ile birlikte ivedilikle ele alınır.
Şirketimiz 6 (Altı) aylık zaman dilimlerinde, VERBIS süreçlerimizde kayıtlı sürelere riayet ederek, şirketimiz nezdindeki veri sorumlusu statüleriyle saklanan verilerin taraması yapılır. Bu tarama neticesinde imha edilmesi gereken verilerin ortaya çıkması durumunda topluca olmak üzere anonimleştirme gerçekleştirilir.
Sözleşmelerdeki hizmet süresini sona eren kurumsal müşterilerimiz veri kaybı yaşamamak için, sözleşmenin sona erdiği tarihten önce, hizmet aldıkları ve erişim sağladıkları Next4biz platformu üzerinden geçmiş verilerini almalıdırlar. Hizmetin sona ermesi ve hesabın kapatılmasını takip eden 30 takvim gününün (KVKK Politikalarında belirlenen) sonunda ilgili kuruma ait tüm veriler silinerek, erişilemez hale getirilir.
Saklama ve İmha Programının amacı, Next4biz bünyesindeki tüm iş kollarına kayıt saklama ve imha protokolü hakkında rehberlik sağlamaktır.
Roller ve Sorumluluklar
Roller :
Şirket kayıtlarının tüm sahipleri ve/veya sorumluları kayıtlarını değerlendirir ve kayıt tutma ve imha konusunda uygun kararlar alır. Bu politikanın uygulanması açısından, gerekli uyum faaliyetleri, tanımlı rol ve sorumluluklarla gerçekleşir.
Sorumluluklar:
İmha edilmesi düşünülen herhangi bir dokümanın/verinin niteliği/içeriği tespit edilir. İnceleme yapılmadıkça hiçbir belge imha edilmez. Gerekli fiziksel/elektronik inceleme ve değerlendirme yapılarak gerçekleştirilir. Değerlendirme, yetkinlik isteyen bir görevdir ve ilgili belgelerin karmaşıklığına bağlıdır.
Next4biz’in işlediği müşteri verilerinin saklanma ve yedekleme süreçleri, veri merkezleri nezdinde gerçekleşmektedir. İş sürekliliği ve acil durum süreç ve planları tanımlıdır. Acil Durum Merkezi bulunmaktadır.
Şirket kullanımında olan tüm önemli belgeler kapsamında ise, veri ve bilgileri içeren ortamların birden fazla kopyada tutulması sadece yedekleme amaçlı gerçekleştirilmektedir. Önemli doküman ve belgelerin birden fazla kopyasını koruma amaçlı saklama sürecini kolaylaştırmak için, güvenlik kriterleri göz önünde bulundurularak, yangına veya hasara karşı güvenli yerlerde korunması sağlanmaktadır.