1. AMAÇ
Altunkaya Grup Şirketlerleri (“Şirketler”), ticari faaliyetlerini yerine getirirken hukuki sorumluluğunun bir parçası olarak, kişisel verileri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), ikincil mevzuat, ilgili diğer mevzuat ve Kişisel Verilerin Korunması Kurul’u kararları ile diğer yetkili merci kararlarına uygun olarak korumakta, işlemekte, saklamakta, aktarmakta ve imha etmektedir.
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca, Kişisel Veriler’in Şirket tarafından Veri Sorumlusu sıfatıyla işlenmesindeki amaç ve amaca yönelik azami saklama süresinin belirlenmesindeki esaslar ile silinmesi, yok edilmesi ve anonim hale getirilmesi süreçleri hakkında Şirket’in tüm paydaşlarını bilgilendirmek amacıyla hazırlanmıştır.
2. TANIMLARİşbu Politika’da, metnin içeriği aksini gerektirmedikçe, aşağıda belirtilen kelimeler, ifadeler veya bunların türevleri, ilk harfleri büyük olarak kullanıldıkları sürece, aşağıdaki şekilde anlaşılmalıdır;
Şirket tarafından Kişisel Veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır;
1. Kişisel Veriler’in silinmesi, yok edilmesi ve anonim hale getirilmesinde KVKK’nın 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken ve işbu Politika’nın 6. maddesinde belirtilen teknik ve idari tedbirlere, ikincil mevzuat, ilgili diğer mevzuat ve Kişisel Verilerin Korunması Kurul’u kararları ile diğer yetkili merci kararlarına ve işbu Politika’ya tamamen uygun hareket edilmektedir.Şirket, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkelere, kanunlara, ikincil düzenlemelere, genel güven ve dürüstlük kurallarına uygun hareket etmektedir. Bu kapsamda, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
KİŞİSEL VERİLERİN DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMASINI SAĞLAMAŞirket, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurarak işlediği kişisel verilerin doğru ve güncelliğini sağlamaya yönelik her türlü idari ve teknik kontrollerin yapılmasına dikkat eder. Veri sahiplerine bu kapsamda doğru ve güncel olmayan verilerinin düzeltilmesi veya silinmesini isteme hakkı tanınır.
BELİRLİ, AÇIK VE MEŞRU AMAÇLARLA İŞLEMEŞirket, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMAŞirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN SÜRE KADAR MUHAFAZA ETME1) Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından yok edilmekte, silinmekte veya anonim hale getirilmektedir. Söz konusu kayıtların imha ve periyodik imha sürelerine Şirket’in Kişisel Verilerin İşlenmesine dair Envanter’den ulaşabilirsiniz.
2. SAKLAMA VE İMHA SÜRELERİŞirket tarafından KVKK ve ikincil mevzuat, ilgili diğer mevzuat ve Kurul kararları ile diğer yetkili merci kararlarına uygun olarak elde edilen Kişisel Veriler’in saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
2) Mevzuatta söz konusu Kişisel Veriler’in saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.
3) Söz konusu Kişisel Veriler’in saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda söz konusu kayıtların imha ve periyodik imha sürelerine Şirket’in Kişisel Verilerin İşlenmesine Dair Envanter’den ulaşabilirsiniz.
Saklama süresi dolan Kişisel Veriler, işbu Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak Periyodik İmha şeklinde imha edilir.
Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere her faaliyet açısından ayrı saklama süresi belirlenmiş olup bu sürelere Şirket’in Kişisel Verilerin İşlenmesine dair Ana Envanter’den ulaşabilirsiniz.
3. SAKLAMA VE İMHAYI GEREKTİRECEK SEBEPLERKişisel Veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve görev tanımlarına işbu Politika’nın ekinde (EK-1: Kişisel Verilerin Saklama ve İmha Süreçlerinde Yer Alan Kişilere Dair Liste) yer alan listeden ulaşabilirsiniz
a. Kişisel Veriler’in Silinmesi ve Yok Edilmesi TeknikleriYazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcı’lar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde Kişisel Veri’nin ilgili yazılımdan silinmesine ilişkin yöntemlerin kullanılmasıdır.
Uzman Tarafından Güvenli Olarak Silme: Veri Sorumlusu’nun kendisi adına Kişisel Veriler’i silmesi için bir uzman ile anlaşmasıdır. Bu durumda, Kişisel Veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcı’lar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinecektir.
Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel Veriler’in amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili Kişisel Veriler’in fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.
Kişisel Verilerin Yok Edilmesi:Fiziksel Yok Etme: Kişisel Veriler’in herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken Kişisel Veri’nin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sisteminin uygulanmasıdır
Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele verilerin yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.
Yukarıda sayılan durumlar gerçekleşmesi sırasında Şirket; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.
b. Kişisel Veriler’in Anonim Hale Getirilmesi TeknikleriŞirket tarafından Kişisel Veriler’in anonim hale getirilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:
Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri:Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan Kişisel Veriler’de bir değişiklik veya ekleme/çıkarma yapılmaksızın; işbu Politika’nın ekinde belirtilen herhangi bir Kişisel Veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.
Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden yüksek dereceli betimleyici olanlarının çıkartılarak mevcut veri setinin anonim hale getirilmesidir.
Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkaralar saklanan veriler anonim hale getirilmektedir.
Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi yoluyla anonimleştirmenin sağlanmasıdır.
Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin, belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmesi mümkün olmaktadır.
Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve Kişisel Veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Global Kodlama: Veri türetme yöntemi ile Kişisel Verinin içeriğinden daha genel bir içerik oluşturulmakta ve Kişisel Veri’nin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde ise, değer düzensizliği sağlamayanların aksine Kişisel Veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratılmaktadır.
Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir.
Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmış olacaktır.
Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir.
Yukarıdaki yöntemlerin belirlenmesinde Kurul tarafından yayımlanan güncel rehber kaynak alınmıştır.
7. DİĞER HUSUSLARKVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
8. YÜRÜRLÜKŞirket tarafından hazırlanmış işbu Politika güncel olup 04.11.2019 tarihinde yürürlüğe girmiştir ve Şirket internet sitesinde yayımlanarak tüm ilgililere duyurulur. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Güncelleme tablosu işbu Politika’nın ekindedir (EK-3: Güncelleme Tablosu).
9. EKLER EK-1: Kişisel Verilerin Saklama ve İmha Süreçlerinde Yer Alan Kişilere Dair ListeKişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 6. Maddesi’nin (f) fıkrası gereğince; Kişisel Veriler’i Saklama ve İmha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına yer verilmesinin gereği olarak işbu Politika’nın ekinde sunulan liste aşağıdaki gibidir;
PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİPERSONEL | GÖREV | SORUMLULUK |
Kurumsal İletişim Grup Şirketler Direktörü | Kurumsal İletişim Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Avukat | Hukuk Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
İnsan Kaynakları Müdür Yardımcısı | İnsan Kaynakları Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Bilgi İşlem Müdürü | Bilgi Teknolojileri Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Muhasebe Müdürü | Mali İşler Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
İdari İşler Müdürü | Veri Sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Şirket tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiş olup, anılan Ana Envanter’e [•] linki üzerinden erişilebilecektir.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası | İş ilişkisinin sona ermesine müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Genel Kurul İşlemleri | 10 yıl | BAKINIZ ANA ENVANTER |
İhale/işyeri açma/bakanlıklar müsteşarlıklar evrak hazırlama süreçleri | 10 yıl | BAKINIZ ANA ENVANTER |
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması | İş ilişkisinin sona ermesine müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Sözleşmelerin hazırlanması | 10 yıl | BAKINIZ ANA ENVANTER |
İşe alım | İş ilişkisinin sona ermesine müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Bordrolama | İş ilişkisinin sona ermesine müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Personel özel sağlık ve ferdi kaza sigorta poliçelerinin hazırlanması organizasyonu | 1 yıl | BAKINIZ ANA ENVANTER |
Çalışanlara araç tahsis edilmesi | 1 yıl | BAKINIZ ANA ENVANTER |
İş sağlığı ve güvenliği uygulamaları | İş ilişkisinin sona ermesine müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Active Directory | İş ilişkisinin sona ermesini müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Log/Kayıt/Takip Sistemleri | 2 yıl | BAKINIZ ANA ENVANTER |
Ana veri oluşturma süreçleri | İş ilişkisinin sona ermesini müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler | 10 yıl | BAKINIZ ANA ENVANTER |
Şirket kredi kartı tahsisi | İş ilişkisinin sona ermesini müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Ödeme işlemleri | İş ilişkisinin sona ermesini müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Personel Finansman Süreçleri | İş ilişkisinin sona ermesini müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazası | İş ilişkisinin sona ermesini müteakip 10 yıl | BAKINIZ ANA ENVANTER |
Kaza Raporlama | 10 yıl | BAKINIZ ANA ENVANTER |
Toplantı notlarının, katılımcılar ile paylaşılması | 10 yıl | BAKINIZ ANA ENVANTER |