ÇAYELİ BELEDİYESİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Amaç
Madde 1-
(1) Çayeli Belediyesi
Kişisel Verileri Saklama ve İmha Politikası, 6698 sayılı Kişisel Verilerin
Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik uyarınca Belediye tarafından kişisel verilerin saklanması,
işlendikleri amaç için gerekli olan azami sürelerin belirlenmesi, kişisel verilerin güvenli bir
şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış
teknik ve idari tedbirler ile silme, yok etme ve anonim hale getirme işlemleri için hazırlanmıştır.
Kapsam
Madde 2-
(1) Bu Politika; statüleri fark etmeksizin Belediyenin tüm personelini, stajyerlerini,
ziyaretçilerini, hukuki ilişki kurulan üçüncü kişileri ve bunların kişisel verilerini kapsamaktadır.
Dayanak
Madde 3-
(1) Bu politika Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Hakkında Yönetmeliğin 5 inci ve 6 ncı maddelerine dayanılarak hazırlanmıştır.
Tanımlar ve Kısaltmalar
Madde 4-
(1) Bu Politikanın uygulamasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rızayı,
b) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisini,
c) Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesini
d) Belediye: Çayeli Belediyesini
e) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi
f) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde
veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen
kişileri,
g) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
h) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
i) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her
türlü ortamı,
j) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve
hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan
azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve
veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
k) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri
amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale
getirme işlemi için dayanak yaptıkları politikayı,
l) Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
m) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen
her türlü işlemi
n) Komisyon: Çayeli Belediyesi Kişisel Veri Komisyonunu
o) Kurul: Kişisel Verileri Koruma Kurulunu,
p) Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileri
q) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
r) Politika: Çayeli Belediyesi Kişisel Verileri Saklama ve İmha Politikası’nı
s) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları
sicilini,
t) VERBİS: Veri Sorumluları Sicil Bilgi Sistemi’ni
u) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri
işleyen gerçek veya tüzel kişiyi
v) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemini,
y) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
z) Yönetmelik: 28.10.2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel
Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik
ifade eder
Genel Sorumluluklar
Madde 5-
(1) Belediyemizin bütün müdürlükleri, birimleri ve personeli;
a) Politika kapsamında alınmakta olan tüm idari ve teknik tedbirleri gereğince uygulamakla,
b) Personelin eğitimi ve kapasitelerinin geliştirilmesiyle,
c) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemekle,
d) Kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari
tedbirlerin alınması konularında sorumlu müdürlüğe destek sağlamakla
yükümlüdür.
(2) Her müdürlük, kendi kişisel veri işleme envanterini hazırlamakla ve gerektiğinde
güncellemekle sorumludur.
Görev Dağılımları
Madde 6-
(1) Kişisel verilerin saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesi
süreçlerinde görevli personelin unvanları ve görev tanımları aşağıdaki tabloda gösterilmiştir.
Unvan | Görevi |
---|---|
Başkan Yardımcısı | Belediye personelinin Politikaya uygun hareket etmesini ve Politikanın yürütülmesini sağlamakla ve Kişisel Veri Komisyonuna başkanlık etmekle görevlidir. |
Komisyon |
- Politikanın hazırlanması, geliştirilmesi ve
güncellenmesinden sorumludur. - İhlal başvurularının değerlendirilmesi ve cevaplandırılmasından sorumludur. |
Bilgi İşlem -Basın ve Yayın | Politikanın ilgili ortamlarda yayımlanmasından sorumludur. |
Tüm Müdürlükler |
- Görevlerine uygun olarak Politikanın yürütülmesinden
sorumludur. - Müdürlüklere ait aydınlatma metinleri ile kişisel veri işleme envanterlerinin hazırlanmasından sorumludur. - Komisyon tarafından verilen diğer görevleri yerine getirir. |
Kişisel Veri Kayıt Ortamları
Madde 7-
(1) Kişisel veriler Belediye tarafından aşağıda belirtilen ortamlarda mevzuata uygun olarak
tutulur.
a) Elektronik ortamlar:
- Sunucular
- Yazılımlar (e-belediye)
- Bilgi güvenliği cihazları
- Kişisel bilgisayarlar
- Taşınabilir elektronik cihazlar (telefon, tablet gibi)
- Optik diskler (CD, DVD gibi)
- Taşınabilir bellekler (USB disk, hafıza kartı gibi)
- El yazması veri kayıt araçları (Evrak kayıt defteri, ziyaretçi defteri gibi)
- Yazılı, basılı, görsel araçlar
Kişisel Veri Saklamayı Gerektiren Hukuki Sebepler
Madde 8-
(1) Belediyemizde kişisel veriler hukuka ve dürüstlük kurallarına uygun; doğru ve güncel;
belirli, açık ve meşru amaçlar için; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenir.
(2) Belediyemiz tarafından kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için
gerekli olan süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
a) 6698 sayılı Kişisel Verilerin Korunması Kanunu,
b) 5393 sayılı Belediye Kanunu,
c) 6098 sayılı Türk Borçlar Kanunu,
d) 4734 sayılı Kamu İhale Kanunu,
e) 657 sayılı Devlet Memurları Kanunu,
f) 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
g) 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu,
h) 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
i) 4982 Sayılı Bilgi Edinme Hakkı Kanunu,
j) 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
k) 4857 sayılı İş Kanunu
l) 2886 sayılı Devlet İhale Kanunu
ve diğer mevzuat kapsamında öngörülen saklama süreleri kadar saklanır.
Kişisel Veri İşleme Amaçları
Madde 9-
(1) Belediyemiz kişisel verileri;
a) Belediyenin mekânsal güvenliğini sağlamak,
b) Belediye ile hukuki ilişkide bulunan kişilerle irtibatı sağlamak,
c) Bilgi güvenliği süreçlerini yürütebilmek,
d) Çağrı merkezi süreçlerini yürütmek,
e) Faaliyetlerin mevzuata uygun yürütülebilmesini sağlamak,
f) Finans ve muhasebe işlerini yürütmek,
g) Hukuki yükümlülüklerinin yerine getirilmesini sağlamak,
h) İstatistiki çalışmalar yapabilmek,
i) Personel işleri süreçlerini yürütebilmek,
j) Saklama ve arşiv faaliyetlerini yürütmek,
k) VERBİS süreçlerini gereği gibi yürütebilmek,
l) Yapılan işbirlikleri, imzalanan sözleşmeler ve protokoller çerçevesinde yükümlülüklerini
ifa edebilmek,
m) Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
n) Yönetim faaliyetlerinin yürütülmesi
amaçları doğrultusunda işler.
Kişisel Verilerin İmhasını Gerektiren Sebepler
Madde 10-
(1) Aşağıda belirtilen hallerde kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
a) İşlenmesini gerektiren sebeplerin ortadan kalkması.
b) İlgili kişinin açık rıza beyanını geri alması.
c) Kişisel verinin saklanmasını gerektiren azami süre dolduktan sonra periyodik imha
süresinin gelmesi.
d) İlgili kişinin başvurması üzerine Belediyenin kabulü ile.
İdari Tedbirler
Madde 11-
(1) Belediyemiz, işlenen kişisel verilerle ilgili olarak aşağıda yer alan idari tedbirleri
uygulamaktadır:
a) Çalışanların niteliği ve teknik bilgi becerisinin geliştirilmesi eğitimi verilmektedir.
b) İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
c) Kişisel verilere hukuka aykırı erişilmesinin önlenmesi eğitimi verilmektedir
d) Kişisel verilerin hukuka aykırı işlenmenin önlenmesi eğitimi verilmektedir
e) Kişisel verilerin muhafazasının sağlanması eğitimi verilmektedir
f) Mevzuat eğitimleri verilmektedir.
Teknik Tedbirler
Madde 12-
(1)Belediyemiz, işlenen kişisel verilerle ilgili olarak aşağıda yer alan teknik tedbirleri
uygulamaktadır:
a) Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
b) Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik
önlemleri alınmaktadır.
c) Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
d) Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
e) Erişim logları düzenli olarak tutulmaktadır.
f) Gizlilik taahhütnameleri yapılmaktadır.
g) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri
kaldırılmaktadır.
h) Güncel anti-virüs sistemleri kullanılmaktadır.
i) Güvenlik duvarları kullanılmaktadır.
j) Kişisel veri güvenliğinin takibi yapılmaktadır.
k) Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
l) Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
m)Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
Madde 13-
(1) İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin
sonunda kişisel veriler, Belediyemiz tarafından resen veya ilgili kişinin başvurusu üzerine,
ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle silinir veya yok edilir.
a) Sunucularda yer alan kişisel veriler: Sistem yöneticisi tarafından ilgili kullanıcıların erişim
yetkisi kaldırılarak silme işlemi yapılır.
b) Elektronik ortamda yer alan kişisel veriler: Silme işlemi yapılır.
c) Fiziksel ortamda yer alan kişisel veriler: Kâğıt ortamında tutulan veriler kâğıt öğütücüden
geçirilerek yok edilir.
d) Taşınabilir sistemde yer alan kişisel veriler: Silme işlemi yapılır.
(2) İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin
sonunda kişisel veriler, Belediyemiz tarafından resen veya ilgili kişinin başvurusu üzerine,
başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hâle getirilmesi suretiyle anonim hale getirilir.
Kişisel Verilerin Saklanma ve İmha Süreleri
Madde 14-
(1) Kişisel veri işleme süreçlerine ilişkin veri kategorisi bazında saklama ve imha süreleri
VERBİS’te ayrıntılı olarak gösterilmiştir.
(2) Söz konusu saklama ve imha süreleri, süreç başlıklarında Ek-1’de gösterilmiştir.
Periyodik İmha Süresi
Madde 15-
(1) Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla
resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi süresi 6 ay olarak
belirlenmiştir.
(2) Periyodik imha için belirlenen aylar her yıl mart ve eylüldür.
Politikanın Yayımlanması, Saklanması ve Güncellenmesi
Madde 16-
(1) Politika, belediyenin resmi web sitesi olan www.cayeli.bel.tr adresinden herkese
duyurulur.
(2) Politika, web sitemizin ana sayfasının sayfa sonunda, daimi link halinde her zaman
ulaşılabilir halde bulundurulur.
(3) Politikanın bir örneği e-imzalı çıktı alınarak Yazı İşleri Müdürlüğünde muhafaza edilir.
(4) Politika, ihtiyaç halinde belediye başkanı oluru ile güncellenebilir.
Politikanın Yürürlüğü ve Yürürlükten Kaldırılması
Madde 17-
(1) Politika, web sitesinde yayımlanması ile yürürlüğe girer.
(2) Politika hükümlerini belediye başkanı yürütür.
(3) Politika, belediye başkanın talimatıyla yürürlükten kaldırılabilir.
EK 1-Veri Saklama ve İmha Süreleri
Ek-1
VERİ KATEGORİSİ | SAKLAMA SÜRESİ (Hukuki İlişki Sona Erdikten İtibaren) |
---|---|
Kimlik | 101 Yıl |
İletişim | 101 Yıl |
Lokasyon | - |
Özlük | 101 Yıl |
Hukuki İşlem | 10 Yıl |
Müşteri İşlem | 30 Gün |
Fiziksel Mekan Güvenliği | 30 Gün |
İşlem Güvenliği | |
Risk Yönetimi | - |
Finans | 10 Yıl |
Mesleki Deneyim | 101 Yıl |
Pazarlama | - |
Görsel Ve İşitsel Kayıtlar | 101 Yıl |
Irk ve Etnik Köken | - |
Siyasi Düşünce Bilgileri | 101 Yıl |
Felsefi İnanç, Din, Mezhep ve Diğer İnançlar | - |
Kılık ve Kıyafet | - |
Dernek Üyeliği | - |
Vakıf Üyeliği | - |
Sendika Üyeliği | 101 Yıl |
Sağlık Bilgileri | 101 Yıl |
Cinsiyel Hayat | - |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri | 101 Yıl |
Biyometrik Veri | - |
Genetik Veri | - |