Saklama ve İmha Politkası

ÜNALLAR METAL İNŞAAT SANAYİ VE TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

ÜNALLAR METAL İNŞAAT SANAYİ VE TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

BİLGİ FORMU

Doküman İsmi:

Ünallar Metal İnşaat Sanayi ve Ticaret Anonim Şirketi Kişisel Veri Saklama ve İmha Politikası

Hedef Kitle:

Ünallar Metal İnşaat Sanayi ve Ticaret Anonim Şirketi tarafından kişisel verileri işlenen tüm gerçek kişiler

Hazırlayan ve Onaylayan:

Ünallar Metal İnşaat Sanayi ve Ticaret Anonim Şirketi Yönetim Kurulu

Versiyon:

2.0

Yürürlük Tarihi:

20/02/2023

Politika Türkçe dilinde hazırlanmış olup herhangi bir başka dile çevirisi yapılması durumunda çeviri ile Türkçe metin arasında bir uyuşmazlık olduğu takdirde, Türkçe metin dikkate alınmalıdır.

İÇİNDEKİLER

GİRİŞ.
POLİTİKA’NIN AMACI VE KAPSAMI
TANIMLAR. 3
KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI
POLİTİKA İLE DÜZENLENEN KAYIT ORTAMLARI
KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER.
KİŞİSEL VERİLERİ İMHA YÖNTEMLERİ
KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER
SAKLAMA VE İMHA SÜRELERİ
PERİYODİK İMHA SÜRELERİ
YÜRÜRLÜK

EK – 1 Saklama ve İmha Süreleri Tablosu

EK – 2 Kişisel Veri Kategorileri

EK – 3 Kişisel Veri Sahipleri

ÜNALLAR METAL İNŞAAT SANAYİ VE TİCARET A.Ş.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. GİRİŞ

Kişisel verilerin ilgili mevzuattaki düzenlemelere uygun olarak işlenmesi ve güvenliğinin sağlanması, böylelikle kişisel verilerin işlenmesinin disiplin altına alınması Ünallar Metal İnşaat Sanayi ve Ticaret A.Ş.’ nin (“Ünallar Metal” veya “Şirket”) öncelikleri arasındadır.

Bu bakımdan Ünallar Metal, faaliyetleri sırasında elde etmiş olduğu kişisel verileri başta Anayasa olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ilgili mevzuata uygun şekilde hazırlanan Ünallar Metal İnşaat Sanayi ve Ticaret A.Ş. Kişisel Veri Saklama ve İmha Politikası’nda (“Politika”) belirtilen genel prensipler ve düzenlemelere uygun şekilde saklamakta ve imha etmektedir.

2. POLİTİKA’NIN AMACI VE KAPSAMI

İşbu Politika’nın amacı, Ünallar Metal nezdinde yürütülen çeşitli faaliyetler kapsamında işlenen kişisel verilere ilişkin olarak, ilgili mevzuatla belirlenen düzenlemelere uygun olarak kişisel verilerin saklanması ve imha edilmesine ilişkin usul ve esasları belirlemektir.

İşbu Politika, Şirketin Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verilerini kapsamaktadır.

3. TANIMLAR

İşbu Politika’da içerik aksini gerektirmedikçe:

“Açık Rıza”	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,
“Alıcı Grubu”	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi,
“Anayasa”	Türkiye Cumhuriyeti Anayasası,
“İlgili Kullanıcı”	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler,
“İmha”	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,
“Kayıt Ortamı”	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam,
“Kişisel Veri”	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Şirket tarafından işlenen Kişisel Veri Kategorileri ve açıklamaları Ek-2’de yer almaktadır.
“Kişisel Veri Sahibi”	Kişisel verisi işlenen gerçek kişi. Şirket’in Kişisel Veri İşleme faaliyetlerine konu Kişisel Veri Sahipleri Ek-3’te yer almaktadır.
“Kişisel Verilerin İşlenmesi”	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,
“Kurul”	Kişisel Verileri Koruma Kurulu,
“Özel Nitelikli Kişisel Veri”	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. Şirket tarafından sağlık verileri ve ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler işlenmektedir.
“Periyodik İmha”	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi,
“Veri Sorumlusu”	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yerin (Kayıt Ortamı) kurulmasından ve yönetiminden sorumlu olan gerçek veya tüzel kişi

anlamına gelmektedir.

4. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI

Şirket’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi, kişisel verilerin Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak saklanması ve imha sürelerine ve imha yöntemlerine uygun olarak imha edilmesi konusunda sorumlu birimlere destek verirler. Bu kapsamda, çalışanların ve İlgili Kullanıcıların eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimine ilişkin süreçler yürütülmektedir.

Şirket’in saklama ve imha süreçlerinde görev alan kişilere ilişkin detaylar aşağıda yer almaktadır:

Unvan	Birim	Görev
İnsan Kaynakları Müdürü	İnsan Kaynakları Departmanı	Politikanın hazırlanması, Şirket içinde yaygınlaştırılması ve yürütülmesi ile güncellenmesinden sorumludur. Ayrıca çalışanların, çalışan adaylarının, altişveren çalışanlarının kişisel verileri bakımından Politika’nın uygulanmasından sorumludur.
Bilgi İşlem Sorumlusu	Bilgi Teknolojileri Departmanı	Politikanın hazırlanması, Şirket içinde yaygınlaştırılması ve yürütülmesi ile güncellenmesinden sorumludur. Dijital ortamlarda muhafaza edilen kişisel verilerden saklama süresi dolanların periyodik imha sürelerine göre geri döndürülemeyecek şekilde erişimden kaldırılmasından sorumludur.
Yönetim Kurulu Başkanı Asistanı	Yönetim	Şirketin web sitesinin Kanun’a uyumluluğu ile tedarikçi ve müşteri kişisel verileri, etkinlik katılımcılarının kişisel verileri bakımından Politika’nın uygulanmasından sorumludur.
Yönetim Kurulu Başkanı ve Genel Müdür		Şirket içinde Kanuna uyumluluğun sağlanması ve Politika’nın uygulanması konusunda koordinasyonun sağlanmasından sorumludur.

5. POLİTİKA İLE DÜZENLENEN KAYIT ORTAMLARI

Kişisel Verilerin Saklandığı Elektronik ve Fiziki Ortamlar:

Elektronik Ortamlar

Elektronik Olmayan Ortamlar (Fiziki)

· Sunucular (e-posta, web sitesi, yedekleme, dosya sunucuları)

· Sistem ve Uygulamalar (Logo (Muhasebe ve İnsan kaynakları modülleri), PDKS (Mikroper), CCTV sistemi (Camuratech), GPS kayıtları(Mobil Trust), sosyal medya hesapları (Meta Inc.))

· Bilgi güvenliği cihazları (güvenlik duvarı, antivirüs, log kayıtları vb. )

· Kişisel cihazlar (Masaüstü, dizüstü bilgisayarlar)

· Yazıcı, tarayıcı, fotokopi makinesi,

· İK Arşiv (Özlük Dosyaları, İş Başvuru Dosyaları)

· Dava Dosyaları

· Vekaletname ve Sözleşme Dosyası

· Mali Hizmetler Arşivi

· Etkinlik Dosyası

· İşyeri Hekimi Sağlık Dosyası

· İSG Eğitim Dosyası

· İSG Özlük Dosyası

· İş Kazası Dosyaları,

· Araç Zimmet Dosyası,

· Altişveren Dosyası,

· Tedarikçi ve Müşteri Dosyaları,

· Genel Kurul Dosyası, Yönetim Kurulu Karar Defteri

6. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER

Ünallar Metal kişisel veri işleme faaliyetlerinde aşağıdaki ilkeleri esas almaktadır:

· Hukuka ve dürüstlük kuralına uygun olunması,

· Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,

· Belirli, açık ve meşru amaçlarla işleme,

· İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ve

· İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.

Ünallar Metal kişisel verileri, yukarıda bahsi geçen ilkelerle uyumlu şekilde, Ünallar Metal Veri İşleme Envanteri’nde yer alan kişisel veri işleme amaçlarıyla ve kişisel verilerin işlenme şartlarına istinaden işlemekte ve işleme amaçlarının ve şartlarının ortadan kalkması veya ilgili mevzuatta öngörülen saklama sürelerinin sona ermesi halinde, kişisel verileri re’sen veya kişisel veri sahibinin talebi üzerine imha etmektedir.

Ünallar Metal, kişisel verileri;

· 6698 sayılı Kişisel Verilerin Korunması Kanunu,

· 6102 sayılı Türk Ticaret Kanunu,

· 6098 sayılı Türk Borçlar Kanunu,

· 4857 sayılı İş Kanunu,

· 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

· 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,

· 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

· 4925 sayılı Karayolu Taşıma Kanunu

· 5188 sayılı Özel Güvenlik Kanunu,

· Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

7. KİŞİSEL VERİLERİN İMHA EDİLMESİ İŞLEMİ İLE İLGİLİ UYGULANAN YÖNTEMLER

Ünallar Metal, kişisel verileri işleme amaçlarının ve şartlarının ortadan kalkması veya ilgili mevzuatta öngörülen saklama sürelerinin sona ermesi halinde, kişisel verileri aşağıdaki yöntemlerle silmekte, yok etmekte veya anonim hale getirilmesi getirmektedir. Ünallar Metal, Kanun’un 12’nci maddesi ve Yönetmelik hükümleri, Kanun’un 4. Maddesinde belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca, kişisel verilerin hukuka uygun olarak imha edilmesi sürecinde ilgili teknolojik imkanlar ve risk/uygulama maliyeti analizine göre silme, yok etme, re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını uygulamaktadır. İmha kapsamında gerçekleştirilen tüm işlemler tarafımızca kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmaktadır.

(a) Kişisel Verilerin Silinme Yöntemleri

Kişisel verilerin silinmesi, kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve geri getirilemez hale getirilmesi işlemidir. Ünallar Metal, silinen kişisel verilerin İlgili Kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar dahilinde ve risk/uygulama maliyeti analizine göre aşağıdaki yöntemleri uygulamaktadır:

Veri Kayıt Ortamı	Açıklama
Sunucular, Sistem ve Uygulamalar ile 3. Parti Sunucularda Yer alan Kişisel Veriler	Sunucularda, sistem ve uygulamalarda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. Söz konusu verilere veri tabanı yöneticisi dışında kimsenin geri döndürülemez şekilde erişim sağlaması engellenir. 3. Parti sunucularda yer alan kişisel veriler için de hizmet sağlayıcıların kişisel verilere erişimi geri döndürülemez şekilde kaldırması sağlanır ve denetlenir.
Sunucular Dışındaki Elektronik Ortamda Yer Alan Kişisel Veriler	Kişisel bilgisayarlar ve sair elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

(b) Kişisel Verilerin Yok Edilme Yöntemleri

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Ünallar Metal, kişisel verilerin yok edilmesiyle ilgili teknolojik imkanlar dahilinde ve risk/uygulama maliyeti analizine göre aşağıdaki yöntemleri uygulamaktadır:

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde veya yakılarak geri döndürülemeyecek şekilde yok edilir.

(c) Kişisel Verilerin Anonim Hale Getirilme Yöntemleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Ünallar Metal, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir.

Ünallar Metal, Kişisel Verilerin İmha edilmesi işlemlerinde anonimleştirme yöntemlerini kullanmamaktadır.

8. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

Ünallar Metal, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun’un 12’nci maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:

Teknik Tedbirler

· Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

· Çalışanlar için yetki matrisi oluşturulmuştur.

· Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

· Silinen kişisel verilerin İlgili Kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.

· Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

· Güvenlik duvarı ve antivirüs sistemleri kullanılmaktadır.

· Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

· Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

· Özel nitelikli kişisel veriler için güvenli şifreleme kullanılmaktadır.

· Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

İdari Tedbirler

· Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.

· Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

· Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

· Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

· Periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

· Veri minimizasyonu yapılmaktadır.

· Kişisel veri işlemeye başlamadan önce Ünallar Metal tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

· Kişisel veri güvenliğinin takibi yapılmaktadır. Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu veri sahibine ve Kurula en geç 72 saat içinde bildirmek için uygun bir idari yapılanma oluşturulmuştur.

· Kişisel Veri İşleme Envanteri hazırlanmış, mevcut riskler ve tehditler ile alınacak aksiyonlar belirlenmiştir.

· Kişisel Verilerin Korunması ve İşlenmesi Politikası ile Saklama ve İmha Politikası oluşturulmuştur.

· Bilgi teknolojileri sistemleri barındırma, tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

· Şirket dışına kişisel veri aktarımı yapılan veya Şirkete veri aktaran taraflarla Veri Aktarım Taahhütnameleri imzalanmıştır.

9. SAKLAMA VE İMHA SÜRELERİ

Ünallar Metal, kişisel verileri ancak uymakla yükümlü olduğu ilgili mevzuatta belirtilen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmekte ve bu sürenin sona ermesini takiben imha etmektedir. Bu kapsamda Ünallar Metal, kişisel verileri süreç bazında işbu Politika’nın ekinde yer alan (EK-1) Saklama ve İmha Süreleri Tablosu’nda belirtilen azami süreler boyunca saklamakta ve sonrasında Periyodik İmha Süresine uygun olarak imha etmektedir.

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri detaylı şekilde Kişisel Veri İşleme Envanterinde yer almaktadır.

Veri kategorileri bazında azami saklama süreleri ise VERBİS kayıtlarında yer almaktadır.

Kişisel veri sahibinin, Şirkete başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde Şirket:

(a) Kişisel verileri işleme şartları tamamı ortadan kalkmışsa:

(i) kişisel veri sahibinin talebini en geç otuz gün içinde sonuçlandırır ve kişisel veri sahibine bilgi verir, ve

(ii) talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu ilgili üçüncü kişilere bildirir; üçüncü kişiler nezdinde gerekli işlemlerin yapılmasını temin eder.

(b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, kişisel veri sahibinin talebini Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını kişisel veri sahibine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

10. PERİYODİK İMHA SÜRELERİ

Şirket, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk Periyodik İmha süresinde, kişisel verileri imha etmektedir. Bu kapsamda Ünallar Metal, Yönetmelik’in 11’inci maddesine uygun olarak Periyodik İmha süresini 6 (altı) ay olarak belirlemiştir.

11. YÜRÜRLÜK

İşbu Politika 20 Şubat 2023 tarihinde yürürlüğe girmiştir. Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncel Politika yayımlandığı tarihte yürürlüğe girecektir.

İşbu Politika ile Kanun ve Yönetmelik hükümleri arasında herhangi bir çelişki olması halinde, Kanun ve Yönetmelik hükümleri geçerli olacaktır.

EK – 1 Saklama ve İmha Süreleri Tablosu

Süreç	Veri Sahibi	Saklama Süresi
İş başvurularının alınması, değerlendirilmesi ve sonuçlandırılması	Çalışan Adayı	Başvuruları olumsuz sonuçlanan adaylardan ileride oluşacak açık pozisyonlarda değerlendirilebilecek olanların kişisel verileri sürecin sonuçlanmasından itibaren bir yıl saklanır. Diğerleri ise ilk Periyodik İmha Süresinde imha edilir. Başvurusu başarıyla sonuçlanan adayların hangi verilerinin özlük dosyasına aktarılması gerektiği belirlenir ve iş başvuru sürecinde işlenen diğer kişisel veriler imha edilir.
İşe Giriş ve Özlük İşlemleri	Çalışan	İstihdam süresinin sona ermesinden itibaren 10 yıl
Bordrolama, puantaj	Çalışan	İstihdam süresinin sona ermesinden itibaren 10 yıl
Eğitim faaliyetleri	Çalışan Altişveren Çalışanı	Hukuki İlişkinin veya istihdam süresinin sona ermesinden itibaren 10 yıl
İş Sağlığı Güvenliği İşlemleri	Çalışan Altişveren Çalışanı	Hukuki İlişkinin veya istihdam süresinin sona ermesinden itibaren 15 yıl
Satış Süreçleri	Ürün veya Hizmet Alan Kişi	Sözleşmenin sona ermesinden itibaren 10 yıl
Bilgi Güvenliği ve Bilgi Teknolojileri Faaliyetleri	Çalışan	İşlem Güvenliği Kayıtları istihdamın sona ermesinden itibaren 10 yıl saklanır. Diğer kayıtlar hukuki ilişkinin sona ermesinden itibaren ilk Periyodik İmha Süresinde imha edilir.
Bilgi Güvenliği ve Bilgi Teknolojileri Faaliyetleri	Ziyaretçi	Log kayıtları 2 yıl saklanır.
Araç Tahsis İşlemleri	Çalışan	GPS kayıtları 2 yıl saklanır. Araç Zimmet Tutanakları hukuki ilişkinin sona ermesinden itibaren 10 yıl süre ile saklanır. Diğer kayıtlar hukuki ilişki sona erdikten sonra ilk Periyodik İmha Süresinde imha edilir.
Finans ve Muhasebe İşlemleri	Tedarikçi Çalışanı/Yetkilisi	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
Finans ve Muhasebe İşlemleri	Çalışan	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
Finans ve Muhasebe İşlemleri	Ürün veya Hizmet Alan Kişi	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
Etkinlik Yönetimi	Katılımcı	Etkinliğin sona ermesinden itibaren 1 yıl
Satın alma Süreçleri	Tedarikçi Çalışanı/Yetkilisi	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
Tesis Güvenliği	Çalışan, Ziyaretçi	CCTV kayıtları 90 gün saklanır.
Kurumsal Yönetim Süreçleri	Çalışan, Şirket Yetkilisi, Hissedar	Hukuki ilişkinin sona ermesinden itibaren 10 yıl
Dava ve İcra Süreçleri	Hukuki İşlem Tarafı, Hizmet Alan Kişi	Davanın niteliğine göre ilgili zaman aşımı süresince saklanır.

EK – 2 Kişisel Veri Kategorileri

KİŞİSEL VERİ KATEGORİLERİ	AÇIKLAMA
Kimlik Bilgisi	Kişinin kimliğine dair tüm bilgiler; ad-soyad, T.C. kimlik numarası, doğum tarihi, cinsiyet, askerlik durumu, işyeri bilgisi, unvan vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı ve pasaport gibi belgeler ve bu belgelerde yer alan bilgiler
İletişim Bilgisi	Telefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler
Özlük Bilgisi	Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veriler
Hukuki İşlem ve Uyum Bilgisi	Hukuki işlemlerin takibi, alacak ve borçlarımızın takibi ve ifası ile kanuni yükümlülüklerimizin yerine getirilmesi, uyuşmazlık çözümü kapsamında işlenen kişisel veriler ile hukuki dayanak teşkil eden imza vb. bilgiler
Lokasyon Bilgisi	GPS sistemi kayıtları
Fiziksel Mekân Güvenlik Bilgisi	Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, tesis giriş/çıkış noktasında alınan kayıtlar vb.
İşlem Güvenliği Bilgisi	Faaliyetlerimizin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin cihaz ID, IP bilgisi, kimlik doğrulama bilgileri, internet erişim kayıtları gibi veriler)
Finansal Bilgi	Şirketin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, borç/alacak bilgisi, ücret bilgileri gibi veriler
Mesleki Deneyim Bilgisi	Çalışanların ve iş başvurusunda bulunanların aldıkları eğitimler, mesleki yeterlilik bilgileri, unvan, iş tecrübelerine ilişkin bilgiler vb.kişisel veriler
Görsel İşitsel Veri	Fotoğraf ve kamera kayıtları
Sağlık Bilgileri- Özel Nitelikli Kişisel Veri	İşe alım, özlük ve iş sağlığı ve güvenliği işlemlerinin yürütülmesi kapsamında hukuki yükümlülüklerimizi yerine getirebilmek amacıyla açık rıza şartına dayanarak işlenen engellilik bilgisi, muayene sonuçları, kan grubu bilgisi, kaza durumu, iş göremezlik durumu gibi sağlık bilgileri.
Ceza Mahkûmiyeti ve Güvenlik Tedbirleriyle ilgili Veriler- Özel Nitelikli Kişisel Veri	İşe giriş işlemlerinin yürütülmesi kapsamında özlük dosyasının oluşturulması amacıyla işlenen adli sicil bilgisi, sabıka kaydı gibi özel nitelikli kişisel veriler
Aile Bireyleri ve Yakın Bilgisi	Şirket tarafından yürütülen faaliyetler çerçevesinde veya Şirketin ve çalışanların hukuki menfaatlerini korumak amacıyla bu kişilerin aile bireyleri ve yakınları hakkında elde edilen ve işlenen bilgiler (Eş/çocuk Bilgisi, yakın cep no., acil durumlarda aranacak kişi bilgisi vb)
Çalışan Adayı Bilgisi	Şirkete iş veya staj başvurusunda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği insan kaynakları ihtiyaçlarımız doğrultusunda çalışan adayı olarak değerlendirilmiş olan bireylerle ilgili işlenen kişisel veriler
Talep/Şikayet Bilgisi	Şirketten ürün ve hizmet alan kişilerin, çalışanların başvuru sahiplerinin çeşitli konularda ilettikleri talep ve şikayetlere ilişkin bilgiler, dilekçeler, vb.
Performans ve Kariyer Gelişim Bilgisi	Çalışanların istihdamları süresince performans ve kariyer gelişimlerinin takibi amacıyla işlenen atama/terfi, performans değerlendirme bilgisi gibi veriler
İşlem Bilgisi	Şirketimizin iş faaliyetleri kapsamında elde etmiş olduğu cookie kayıtları, seyahat bilgileri, vardiya bilgisi gibi veriler
Müşteri İşlem Bilgisi	Şirketimizin iş faaliyetleri kapsamında müşterilerinden elde etmiş olduğu her türlü talimat, müşterilerin sipariş bilgisi gibi veriler

EK – 3 Kişisel Veri Sahipleri

KİŞİSEL VERİ SAHİBİ KATEGORİLERİ	AÇIKLAMA
Çalışan	Şirketimizle iş akdi kapsamında çalışma ilişkisi içinde bulunan gerçek kişiler
Çalışan Adayı	Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler(stajyer adayları dahil)
Şirket Yetkilisi	Şirketimizin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler
Hissedar	Şirketin gerçek kişi ortakları
İş Birliği İçerisinde Olduğumuz Kurumların Çalışanları, Yetkilileri	Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi, alt işveren gibi ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil, gerçek kişiler
Katılımcı	Şirket tarafından düzenlenen etkinliklere katılan gerçek kişiler
Ürün veya Hizmet Alan Kişi	Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizden ürün ve hizmet tedarik eden gerçek kişiler
Ziyaretçi	Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler
Hukuki İşlem Tarafı	Şirket tarafından yürütülen hukuki işlemlere taraf olan gerçek kişiler (eski çalışan, vb)