Kişisel Verileri Saklama ve İmha Politikası
1. Amaç
İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Uysal Madencilik Anonim Şirketi (“Uysal Madencilik” veya “Şirket”) tarafından işlenen ve saklanan kişisel verilerin saklanma ve sonrasında silinmesi, yok edilmesi veya anonim hale getirilmesi şeklindeki imha işlemlerine ilişkin usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
İşbu Politika ile Şirket, kişisel verilerin işlenmesi faaliyetlerine konu veri öznelerinin (ilgili kişilerin) kişisel verilerinin saklanması ve imha edilmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulmasını ve bu hususlarla ilgili yasal düzenlemelerle belirlenen yükümlülüklerin Şirket ve Şirket’in Veri İşleyenleri tarafından yerine getirilmesini hedeflemektedir.
İşbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır. İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.
Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK/KVK Kanunu”) 4. maddesindeki genel ilkelere ve Yönetmelik’in 7. maddesindeki ilkelere uyulacaktır.
- Şirket, işbu Politika’yı hazırlamış olmanın tek başına kişisel verilerin mevzuata uygun olarak imha edildiği anlamına gelmeyeceğini kabul etmektedir.
- Şirket, kişisel verilerin saklanması yahut imhasında, işbu Politika’ya ve mevzuata uygun hareket edeceğini kabul, beyan ve taahhüt etmektedir.
İlgili mevzuat düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde ilgili mevzuat düzenlemeleri esas alınacaktır.
2. Kapsam
İşbu Politika, aşağıdaki kişi gruplarına ait edinilen kişisel verilerin saklanması ve imhası faaliyetlerini kapsamaktadır:
- Şirketimizin çalışanları, çalışan adayları, stajyerleri, eski çalışanları ve bu kişilerin aile yakınları,
- Topluluk şirketimizin çalışanları, çalışan adayları, eski çalışanları, stajyerleri ve bu kişilerin aile yakınları,
- Şirketimizin ve topluluk şirketlerimizin temsilcileri, vekilleri ve hissedarları,
- İş ortaklarımızın çalışanı, temsilcisi ve vekili,
- Müşterilerimiz ve potansiyel müşterilerimiz,
- Kamu/özel kurum ve kuruluş çalışanları,
- Hukuken yetkili kişiler,
- Ziyaretçilerimiz,
- Diğer üçüncü kişiler.
Bu kişi grubu tanımlarına ilişkin açıklamalar EK-1’de yer almaktadır. İşbu Politika; elektronik, fiziki ve diğer ortamlar üzerinden edinilen ve elektronik, fiziki veya benzeri ortamlarda saklanan tüm kişisel verileri kapsar.
3. Yetki ve Sorumluluklar
Kişisel verilerin saklanması ve imhasına ilişkin süreçlerde görev ve sorumluluklar aşağıdaki gibidir:
- Bilgi Teknolojileri Müdürü: Politika Uygulama Yöneticisi olarak kişisel verilerin saklanma süresine uygunluğunu ve periyodik imha işleminin koordinasyonunu sağlamak ve yönetmekle görevlidir.
- Bilgi Teknolojileri Uzmanları: Politika Uygulama Sorumlusu olarak elektronik ortamdaki kişisel verilerin imhasını yürütmekle görevlidir.
- Genel Müdür: Politika Uygulama Sorumlusu olarak fiziki ortamdaki kişisel verilerin imhasını yürütmek ve görevlerine uygun olarak işbu Politika’nın uygulanmasından sorumludur.
4. Tanımlar
Politika içerisinde yer verilen teknik terimlerin karşılıkları aşağıda gösterilmektedir:
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.
Kurul: Kişisel Verileri Koruma Kurulu’dur.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilidir.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri Sorumlusu: (Uysal Madencilik Anonim Şirketi) Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Doğrudan Tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılardır.
Dolaylı Tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılardır.
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.
Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemlerdir.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar aracılığıyla oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.
Elektronik Olmayan Ortam: Elektronik ortamlar dışında kalan, kişisel verilerin yazılı, basılı, görsel veya benzeri diğer ortamlarda bulunduğu her türlü kayıt ortamıdır.
5. Kişisel Verilerin Kaydedildiği Ortamlar
Veri sahiplerine ait kişisel veriler KVKK ve ilgili mevzuata uygun olarak aşağıda belirtilen ortamlarda güvenli bir şekilde saklanmaktadır.
Elektronik Ortamlar: Kişisel veriler aşağıdaki elektronik ortamlarda saklanabilmektedir:
- Masaüstü ve dizüstü bilgisayarlar,
- Mobil cihazlar,
- E-posta sunucuları,
- Sosyal medya hesaplarının mesaj kutuları,
- Yazılımlar ve bağlı olduğu veritabanları (Yedekleme Yazılımı, Active Directory, SAP, Hybris, Jira, Eba, QDMS, Netsis, MII, ERP, SQL DB),
- Sistem odaları,
- Taşınabilir medya (USB bellek, CD, DVD vb.),
- Ağ üzerinde veri saklanması için kullanılan disk sürücüleri.
Bu kapsamda fiziki ortamda, sözlü veya basılı kâğıt, form veya belge olarak elde edilip tamamen veya kısmen otomatik bir sisteme kaydedilen tüm kişisel verilerin de elektronik ortamda saklandığı kabul edilmiştir.
Elektronik Olmayan Ortamlar: Kişisel veriler kâğıt, form, belge, sözleşme veya herhangi bir basılı varlık olarak elektronik olmayan ortamlarda da saklanabilmektedir. Bu kapsamda kişisel veriler:
- Uysal Madencilik ofislerinde bulunan kilitli dolaplarda,
- Ofis ve depolarda bulunan panolarda,
- Ofislerde bulunan arşiv odasında,
- Çekmeceler ve klasörlerde
fiziki olarak muhafaza edilmektedir. Elektronik ortamdan elde edilen ancak çıktısı alınarak veya kâğıt/form/ belge üzerinde saklanan tüm kişisel verilerin de fiziki ortamda saklandığı kabul edilmiştir.
6. Kişisel Verilerin Saklanması ve İmhası Sürecini Yöneten ve Bu Süreçte Görev Yapan Kişiler
Kişisel verilerin saklanması ve imhası süreçlerinde yer alan yetkili ve görevli kişilerin unvanları, birimleri ve görev tanımları aşağıdaki gibidir:
| Süreç | Sorumlu Birim | Sorumlu Unvan |
|---|---|---|
| İş başvuru formu, CV ve karakter analizi testlerinin muhafazası | İnsan Kaynakları | İnsan Kaynakları Yöneticisi |
7. Kişisel Verilerin Muhafazası ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesini Sağlamak İçin Alınan Teknik ve İdari Tedbirler
7.1. Teknik Tedbirler
Kişisel verilerinizin hukuka uygun saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesini sağlamak için alınan teknik tedbirler aşağıdaki gibidir:
- Kişisel veri saklama, işleme ve erişim faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
- Alınan teknik önlemler ilgilisine raporlanmaktadır.
- Bilgi sistemlerine yönelik risk ve açıklıkları tespit etmek amacıyla periyodik olarak sızma testleri gerçekleştirilmekte ve gerekli güvenlik önlemleri alınmaktadır.
- Bilgi teknolojilerine ilişkin riskler, etkin risk değerlendirme ve yanıt mekanizmalarıyla yönetilmektedir.
- Teknik konularda bilgili personel istihdam edilmektedir.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun biçimde yedekleme programları kullanılmaktadır.
- Kişisel verilerin bulunduğu fiziksel ortamların güvenliği sağlanmakta; bu alanlara yetkisiz erişimlerin önlenmesi için gerekli önlemler alınmaktadır.
- Özel nitelikli kişisel verilerin işlendiği sistemlerde, bu verilere yalnızca yetkili kişiler tarafından erişilmesini sağlamak amacıyla sıkı erişim kontrolleri uygulanmakta; işlem kayıtları mevzuata uygun şekilde tutulmakta ve veriler güvenli ortamlarda saklanmaktadır.
- Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
- Sistemlere uygun güvenlik yamaları zamanında yüklenmekte, bilgi sistemleri güncel tutulmakta, erişim güvenliğini sağlamak amacıyla güçlü parola politikaları uygulanmakta ve internet üzerinden erişimlerde güvenli protokoller (örneğin HTTPS) kullanılmaktadır.
7.2. İdari Tedbirler
Kişisel verilerin hukuka uygun saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesini sağlamak için alınan idari tedbirler aşağıdaki gibidir:
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak saklanması, işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde görev alan çalışanlara gerekli eğitimler verilmekte; bu verilere erişim yetkisi yalnızca ilgili kişilerle sınırlandırılmakta ve çalışanlardan gizlilik taahhüdü alınmaktadır.
- Kişisel Veri İşleme Envanteri’nde kişisel verileri işleyecek, saklayacak ve erişebilecek personel belirlenmiştir.
- Kâğıt ortamı üzerinden gerçekleştirilen veri aktarımlarında fiziksel güvenlik önlemleri alınmakta; belgeler gizlilik derecelendirmesi yapılarak ilgili kişi veya birimlere iletilmektedir.
- Yürütülen tüm faaliyetler, bölümler özelinde analiz edilmekte; ilgili iş birimlerinin gerçekleştirmiş oldukları ticari ve idari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
- Bölümler bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
- Çalışanlar, öğrendikleri kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine aykırı olarak başkasına açıklayamayacakları ve işleme amacı dışında kullanamayacakları, bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hususunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Çalışanlar arasındaki hukuki ilişkiyi düzenleyen sözleşme ve belgelere, Uysal Madencilik Anonim Şirketi’nin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren hükümler konulmakta ve çalışanların farkındalığı artırılmaktadır.
- Şirket içinde kişisel veri güvenliğine ilişkin uygulamaların sürdürülebilirliğini sağlamak amacıyla belirli aralıklarla periyodik denetimler gerçekleştirilmekte ve alınan önlemler raporlanmaktadır.
8. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi İçin Alınan Teknik ve İdari Tedbirler
- Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde, verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
- Bulut Sisteminde Silme Komutu Verilerek Silinmesi: Merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veritabanlarında ilgili satırların veritabanı komutları ile silinmesi; taşınabilir medyada (flash ortamı vb.) bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamdadır.
Ancak, kişisel verilerin silinmesi işlemi diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır:
- Başka herhangi bir kurum, kuruluş veya kişinin erişimine kapalı olması,
- Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirin alınması.
- Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için Uysal Madencilik bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinecektir.
- Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri ortadan kaldırmak için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi yöntemidir.
- De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz biçimde bozulması yöntemidir.
- Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi yöntemi uygulanır. Kâğıt ve mikrofiş ortamındaki verilerin yok edilmesi de bu şekilde gerçekleştirilir.
- Üzerine Yazma: Özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinde en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılması yöntemidir.
- Loglama ve Denetim: Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi süreçlerinde gerçekleştirilen işlemler kayıt altına alınır. Bu log kayıtları yalnızca yetkili kişiler tarafından erişilebilecek şekilde korunur; işlem geçmişi, denetim amacıyla gerektiğinde incelenir ve kayıtların bütünlüğü güvence altına alınır.
- Periyodik İmha Zamanlaması: Kişisel verilerin işlenme şartlarının ortadan kalktığı durumlarda ilgili veriler belirli periyotlarla silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu periyodik imha işlemleri, Kişisel Veri Saklama ve İmha Politikası’nda tanımlanan süreler esas alınarak gerçekleştirilir; işlemler otomatik veya manuel olarak yürütülebilir.
- Otomatik Silme/İmha Sistemleri: Kişisel verilerin silinmesi veya yok edilmesi işlemleri, sistem üzerinde belirlenen saklama süresinin sona ermesiyle birlikte otomatik olarak gerçekleştirilebilir. Bu kapsamda yazılım sistemleri aracılığıyla süre bazlı tetikleyiciler tanımlanır ve belirli periyotlarda otomatik imha süreçleri devreye alınır.
- Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri: Saklanmakta olan kişisel verilerde herhangi bir değişiklik veya ekleme/çıkarma yapılmaksızın; veri grupları üzerinde genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri ya da alt veri grubunun çıkarılması suretiyle anonimleştirme sağlanır.
- Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkarılması yöntemiyle, veri setindeki “yüksek dereceli betimleyici” değişkenler çıkarılarak mevcut veri setinin anonim hale getirilmesi sağlanır.
- Kayıtları Çıkartma: Veriler arasında tekillik oluşturan satırların veri setinden çıkarılması ile saklanan veriler anonim hale getirilir.
- Bölgesel Gizleme: Tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebiyle belirleyici niteliği mevcut ise ilgili verinin gizlenmesi ile anonimleştirme sağlanır.
- Alt ve Üst Sınır Kodlama: Önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesi suretiyle anonimleştirme yapılır.
- Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılır ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilir.
- Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturularak kişisel verinin belirli bir kişi ile ilişkilendirilememesi sağlanır.
- Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri: Kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratılması yöntemiyle anonimleştirme sağlanır.
- Gürültü Ekleme: Özellikle sayısal verilerin bulunduğu veri setlerine belirli oranlarda artı veya eksi sapmalar eklenerek veriler anonim hale getirilir.
- Mikro Birleştirme: Verilerin anlamlı bir sıraya dizilip gruplara ayrılması, grupların ortalamasının alınarak ilgili gruptaki verilerin yerine yazılması suretiyle anonimleştirme yapılır.
- Veri Değiş Tokuşu: Saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerlerinin karşılıklı olarak yer değiştirmesi yöntemiyle anonimleştirme sağlanır.
Yukarıda sayılan süreçlerin tamamında KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine tam uyum sağlanmakta ve veri güvenliğinin temini için gerekli tüm idari ve teknik tedbirler alınmaktadır.
9. Kişisel Verilerin Periyodik İmha Süresi
Uysal Madencilik’in uhdesinde bulunan kişisel veriler belirli periyodik aralıklarla kontrol edilir ve işleme şartları tamamen ortadan kalkmış olan kişisel veriler silinir, yok edilir ya da anonim hale getirilir.
Periyodik imha, tüm kişisel veriler için 6 (altı) aylık zaman aralıklarında gerçekleştirilir. Anılan süre, her hâl ve koşulda Yönetmelik’in 11. maddesinde belirtilen azami periyodik imha süresini aşmamaktadır. Şirket, ilgili mevzuat kapsamında Kurul’un süreleri kısaltması durumunda yeni sürelere uyum sağlayacağını taahhüt eder.
Kişisel verilere uygulanacak periyodik inceleme ve imha işlemleri, Uysal Madencilik tarafından oluşturulan ve VERBİS sistemine sunulan/sunulacak Kişisel Veri İşleme Envanteri’nde yer almaktadır.
İmha kapsamında gerçekleştirilen tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler saklı kalmak kaydıyla en az 3 (üç) yıl süreyle saklanmaktadır. Şirket’in diğer hukuki yükümlülüklerden kaynaklanan kişisel veri saklama hakları saklıdır.
10. Kişisel Verileri Resen Silme, Yok Etme veya Anonim Hale Getirme Süreleri
Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir. Bu süre her hâlükârda altı ayı aşmayacaktır.
Telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde Kurul bu maddede belirlenen süreyi kısaltabilecektir.
11. Veri Sahibinin Kişisel Verilerinin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Talebi Üzerine Uygulanacak Süreler
Veri sahibi, Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle Uysal Madencilik’e iletebilir. Uysal Madencilik, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda en geç otuz (30) gün içinde bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde gereği yerine getirilir.
Talebe konu kişisel verilerin işleme şartlarının tamamı ortadan kalkmışsa, bu veriler silinir, yok edilir ya da anonim hale getirilir. Başvuruda yer alan talepler, talebin niteliğine göre en kısa sürede ve her hâlükârda otuz (30) gün içinde ücretsiz olarak sonuçlandırılır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde Kurulca belirlenen tarifedeki ücret esas alınabilir. Uysal Madencilik’in hatasından kaynaklanması hâlinde alınan ücret veri sahibine iade edilir.
Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Uysal Madencilik tarafından seçilecektir. İlgili kişinin talebi hâlinde Uysal Madencilik uygun yöntemi gerekçesini açıklayarak seçer.
Talebe konu kişisel veriler üçüncü kişilere aktarılmışsa bu durum üçüncü kişiye bildirilecek; üçüncü kişi nezdinde “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” kapsamında gerekli işlemlerin yapılması temin edilecektir.
Kişisel verilerinizin işlenmesi ile ilgili hususlarda, Şirket’in internet adresinde bulunan formu doldurarak ya da aşağıda belirtilen adrese yazılı olarak* başvuruda bulunabilirsiniz.
Uysal Madencilik Anonim Şirketi İletişim Bilgileri
İrtibat Mail Adresi: …
Merkez Ofis Adresi: …
Merkez Ofis Telefon Numarası: …
İletişim için internet sitesi adresi: …
* Lütfen yazılı başvuru halinde konuyu zarfın üzerinde “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” şeklinde belirtiniz.
12. Referanslar ve Dayanak
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik bu Politika’nın temel hukuki dayanaklarından biridir.
13. Politikanın Yürürlük Tarihi
İşbu Politika’nın ilk versiyonu …/…/… tarihi itibarıyla Şirket’in tüm kişisel veri saklama ve imha faaliyetlerine uygulanmak üzere Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.
İşbu Politika’nın hazırlanmış olduğu Türkçe dilindeki metni ile Şirket tarafından yayınlanan herhangi bir dildeki çeviri metni arasında bir uyuşmazlık çıktığı hallerde Türkçe metin esas alınacaktır.
EK-1 – Kişi Grupları
| Kişi Grupları | Açıklamalar |
|---|---|
| Müşteri | Uysal Madencilik’ten halihazırda ürün/hizmet alan veya alma taahhüdünde bulunan kişiler. |
| Potansiyel Müşteri | Uysal Madencilik’ten halihazırda ilgili ürünü/hizmeti almayan ancak alması muhtemel kişiler. |
| Şirket Temsilcisi veya Vekili | Uysal Madencilik’i temsil veya vekil eden kişiler (Uysal Madencilik’in danışmanlık aldığı avukatlar, temsil ve ilzama yetkili yönetim kurulu üyesi vb.). |
| Hissedar | Uysal Madencilik’te pay sahibi olan gerçek kişiler. |
| Tedarikçi | Uysal Madencilik’in hizmet aldığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili. |
| İş Ortağı | Uysal Madencilik’in faaliyetlerinde beraber çalıştığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili. |
| Çalışan | Uysal Madencilik’in işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunan kişiler. |
| Çalışan Adayı | Uysal Madencilik’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Uysal Madencilik’in incelemesine açmış olan gerçek kişiler. |
| Stajyer | Uysal Madencilik’te stajyerlik yapan gerçek kişiler. |
| Ziyaretçi | Uysal Madencilik şirket yerleşkelerini ve internet sitelerini ziyaret eden kişiler. |
| Hukuken Yetkili Kişi | Hukuken yetkili kamu kurum ve kuruluşları veya özel kişi ve kuruluşlarında çalışan kişiler. |
| Üçüncü Kişi | Burada belirtilmeyen diğer gerçek kişiler (örneğin kefil, eski çalışan vb.). |
EK-2 – Saklama ve İmha Süreleri Tablosu
Aşağıda yer alan tablodaki süreçlere ilişkin saklama süreleri, işbu Politika’nın yürürlüğe girdiği tarihteki mevzuat esas alınarak belirlenmiştir. Söz konusu süreler, ilgili kişi tarafından dava açılması halinde kesintiye uğrayacak ve davaya konu kişisel veriler en az dava kesinleşene kadar “bir hakkın korunması” hukuki sebebine dayanarak saklanacaktır.
| Kişisel Veri Kategorisi / Süreç | Saklama Süresi | İmha Süresi |
|---|---|---|
| Sözleşme ilişkilerinde (TBK genel zamanaşımı süresi) | Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Müşterilere mal/hizmet verilmesi ilişkilerinde ödeme işlemleri | Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazası | Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Çalışan adaylarının iş başvuruları | İş başvurusu tarihinden itibaren 1 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| İnsan kaynakları süreçlerinin planlanması | İş ilişkisinin sona ermesinden itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| İş sağlığı ve güvenliği faaliyetleri | İş ilişkisinin sona ermesinden itibaren 10 yıl, sağlık dosyaları için en az 15 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Çalışanların izin ve tazminat süreçlerinin yürütülmesi | Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Çalışanların ücrete ilişkin haklarına dair kişisel veriler | 5 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Erişim / Log kayıtları | 2 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Genel kurul işlemleri | 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler | 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Ticari defterler ve TTK m.82/1’de sayılan diğer belgeler | Belgelerin oluştuğu, yapıldığı veya hazırlandığı takvim yılını izleyen yıl başından itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Sistem odalarına ziyaretçi kayıtları | Sözleşme süresince | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Ticari elektronik ileti işlemleri | Ticari elektronik iletinin veya ticari elektronik iletişimin reddedildiği tarihten itibaren 3 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Kamera kayıtları | Genel Kameralar 20 gün | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Olay tespiti bilgisi | İş ilişkisinin sona ermesinden itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Aile üyeleri bilgisi | İş ilişkisinin sona ermesinden itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |
| Müşteri talep ve şikâyet bilgisi | Sözleşme ilişkisinin sona ermesinden itibaren 10 yıl | Sürenin sona ermesinden itibaren 6 ayda bir gerçekleşen ilk periyodik işlemde |