ÜRMAKSAN KVK POLİTİKASI	Doküman No	KVKK-007
		İlk Yayın Tarihi	01/05/2024
		Revize No	-
		Revize Tarihi	-

ÜRMAKSAN KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI BİLGİ FORMU

Doküman İsmi:
 ÜRMAKSAN MAKİNE İNŞAAT TAAHÜT SANAYİ VE TİCARET LİMİTED ŞTİ.  Kişisel Verileri Saklama ve İmha Politikası.

Hedef Kitle:
Ürmaksan tarafından kişisel verileri işlenen Ürmaksan’ın çalışanları dışındaki tüm gerçek kişiler

 Hazırlayan:
Ürmaksan Makine İnşaat Taahüt Sanayi ve Ticaret Limited. Şti Kişisel Verileri Koruma Komisyonu

Versiyon: 2.0

Onaylayan:
 Ürmaksan Makine İnşaat Taahüt Sanayi ve Ticaret Limited. Şti

Yürürlük Tarihi:
01/05/2024

1 POLİTİKANIN AMACI

Bu Politika’nın temel amacı, KVKK ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması halinde 4 hükümlerine uygun bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin başlıca yöntemlerin belirlenmesidir. Böylelikle temel hedef; ilgili işlemlerin Ürmaksan içerisinde sistematik bir şekilde yürütülmesinin sağlanması ve benimsenen sistemler konusunda açıklamalarda bulunarak, çalışanlarımıza, çalışan adaylarımıza, stajyerlerimize, şirket hissedarlarımıza, şirket yetkililerimize, ziyaretçilerimize, iş birliği içinde olduğumuz firma çalışanlarına ve kişisel verileri şirketimiz tarafından işlenen tüm kişilere karşı uygulanan işlemlerin şeffaflığını sağlamaktır. Politikanın amacı doğrultusunda, Şirketimiz tarafından gerçekleştirilen kişisel verilerin korunması, saklanması ve imhası faaliyetlerinde mevzuata tam uyumun sağlanması hedeflenmektedir.

1.2. POLİTİKA’ NIN KAPSAMI

Bu Politika; çalışanlarımız, çalışan adaylarımız, stajyerlerimiz, şirket hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz/hizmet aldığımız firmalar çalışanları ve kişisel verileri şirketimiz tarafından işlenen tüm üçüncü kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır. Bu Politika, yukarıda belirtilen ilgili kişiler için, Şirketimizin bu ilgili kişilerin kişisel verilerini tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlemesi halinde uygulanacaktır. Verinin aşağıda belirtilen kapsamda “Kişisel Veri” kapsamında yer almaması veya Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde KVKK kapsamında açıklanan bir kişisel veri işlenmesinden bahsedilemeyeceği için bu Politika uygulanmayacaktır.

1.4. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin saklanması ve imhası konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralların Ürmaksan uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.

2) KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Ürmaksan, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Şirketimizin uygulamaları, düzenlemeye tabi bir sektörde faaliyet gösterilmesi nedeniyle ilgili Kurum/Kurumların talepleri ve ticari teamüller uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinerek, yok edilir veya anonim hale getirilir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 5. Bölümünde yer verilmiştir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilir.

3) KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ YÜKÜMLÜLÜĞÜNE İLİŞKİN HUKUKİ AÇIKLAMA

 Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’nın 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir. Bu kapsamda Şirketimiz ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir. Kişisel veri sahibi tarafından bu yönde bir talep geldiği taktirde ilgili Ürmaksan politikasına göre inceleme yapılır, silme, yok etme, anonimleştirme işlemlerinden hangisi en uygun yöntemse o yöntem seçilir, işlem gerçekleştirilir ve kişisel veri sahibi bilgilendirilir.

3.1 Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Teknikleri

 Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi işlemleri, Yönetmelike ve Kişisel Verilerin Korunması Kurulu tarafından yayımlanan konuyla ilgili rehberdeki tekniklere uygun şekilde gerçekleştirilir.

Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

1. Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
2. Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
3. Uzman Tarafından Güvenli Olarak Silme Ürmaksan bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

 

3.2.1 KİŞİSEL VERİLERİ ANONİM HALE GETİRME TEKNİKLERİ

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

1. Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

2. Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

3. Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

4. Veri Karma

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

 

4. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

4.1. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİNİ GÖSTEREN TABLO

 

Kişisel verileri saklama ve imha süreleri aşağıdaki tabloda kategori bazlı olarak ve en uzun süreleri işaret eden şekilde gösterilmektedir.

KVK Komisyonu ilgili süreci uyarınca, çalışan adaylarına ait iş başvurusu sürecinde alınan ve işlenen özgeçmiş gibi kişisel verilerin saklama süresi 6 ay olup, bu süre dolduktan periyodik imha süreçleri dahilinde imha edilmektedir. İlgili kişinin, Şirketimize başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde firmamız:

(a)kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa:

(i) ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişisine bilgi verir, ve

(ii) talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.

(b) kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, ilgili kişinin talebini Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını ilgili kişisine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

4.1 PERİYODİK İMHA SÜRELERİ BİLGİLERİ

 Periyodik imha, Yönetmelik’in yürürlüğe girdiği tarihten başlamak üzere 6 (altı) ayda bir yapılacaktır ve yapılan işlemlerin logları 3 (üç) yıl süreyle saklanacaktır.

5. ROLLER VE SORUMLULUKLAR

Firma’nın tüm organ ve departmanları Kişisel Veri Saklama ve İmha Politikası’ na uyulmasını gözetmekle ve Kişisel Verilerin Korunması Komisyonu ile iş birliği yapmakla sorumludur. Kişisel verilerin saklanması ve imhası süreçlerini; Yönetim Kurulu ve İnsan Kaynakları birimi tarafından yürütecektir. İş bu Politikanın uygulanmasından başta Yönetim Kurulu ve İnsan Kaynakları olmak üzere, kişisel veri işleyen her ilgili birim ve departman bizzat sorumludur. Hukuk Müşavirliği süreçlerin yürütülmesinde tavsiye kaynağı, danışman ve rehber konumundadır.

6. GÖZDEN GEÇİRME

 Bu Politika dokümanı, Şirketin İnsan ve Kültür Genel Müdür Yardımcısı tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika içerisinde değişiklik yapılması ve yürürlüğe konulması KVK Komisyonu onayına tabidir. İşbu Politika’ ya bağlı olarak düzenlenecek, bu Politika’nın içerisinde belirtilen hususların belli konular özelinde ne şekilde icra edileceğini belirtecek uygulama kuralları Prosedürler şeklinde düzenlenecektir. Prosedürler, İnsan ve Kültür Genel Müdür Yardımcısı onayıyla yayımlanarak yürürlüğe konulacaktır. İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, İnsan ve Kültür Genel Müdür Yardımcısı onayına sunularak güncellenir. Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile Kişisel Veri Saklama ve İmha Politikası arasında çelişki bulunması halinde, Şirket yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir. Kişisel Veri Saklama ve İmha Politikası, Şirket internet sitesinde (www.urmaksan.com) yayımlanır ve kişisel veri sahiplerinin erişimine açıktır. İlgili mevzuatta gerçekleştirilecek 13 değişiklik ve yeniliklere paralel olarak, Kişisel Veri Saklama ve İmha Politikasında gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde veri sahiplerinin erişimine açılacaktır.