Saklama ve İmha Politikası

ÇAMYUVA OTELCİLİK İŞLETMELERİ A.Ş.

VE GÜLSAN ŞİRKETLER GRUBU

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1.   GİRİŞ

 

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”)  Veri sorumlusu sıfatıyla Çamyuva Otelcilik İşletmeleri A.Ş. ve Gülsan Holding Grup Şirketleri (bundan böyle “Şirket” “Şirketler” veya “Gülsan Şirketleri”[1] olarak anılacaktır) tarafından hazırlanmıştır.

 

Politika, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca, Şirket yükümlülüklerini yerine getirmek ve veri sahiplerini kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla oluşturulmuştur.

 

2.   TANIMLAR

Veri: Dijital veya fiziki dosyalama sistemlerinde saklanan bilgileri ifade etmektedir.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.

Özel Nitelikli/Hassas Kişisel Veri: Irk, etnik köken, siyasi düşünceler, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyelikleri, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ve biyometrik verileri ifade etmektedir. Bu veriler sadece mevzuattaki şartlar kapsamında işlenebilirler ve işlenmesi genellikle veri sahibinin açık rızasını gerektirmektedir.

İlgili Kişi: Başta çalışanlar olmak üzere Kişisel Verileri işlenen tüm gerçek kişileri kapsamaktadır.

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onaydır.

Çalışan: Gülsan Şirketleri personelini ifade eder.

Çalışan adayı: Gülsan’a iş başvurusunda bulunmuş olan kişi ya da kişileri ifade eder.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek kişi veya tüzel kişiyi ifade eder.

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek kişi veya tüzel kişiyi ifade eder.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

VERBİS:  Veri Sorumluları Sicil Bilgi Sistemi

Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.

Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.

KVKK (Kanun): 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

Politika: Gülsan Şirketleri Kişisel Veri Saklama ve İmha Politikası’nı ifade eder

3.   İLKELER  

Gülsan Şirketleri tarafından kişisel verilerin saklanması ve imhasında aşağıdaki ilkelere göre hareket edilmektedir:

·       Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya uygun olarak hareket edilmektedir.

·       Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 2 (iki) yıl süreyle saklanmaktadır.

·       Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Gülsan tarafından belirlenmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

·       Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde; İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır, Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.


Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Veri sahiplerine ait kişisel veriler, Gülsan tarafından,

·       ticari faaliyetlerin sürdürülebilmesi,

·       hukuki yükümlülüklerin yerine getirilebilmesi,

·       çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

 

Saklamayı gerektiren sebepler:

·       Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

·       Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

·       Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

·       Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

·       Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

·       Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.


Yönetmelik hükümlerince, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut veri sahibini talebi üzerine silinir, yok edilir veya anonim hale getirilir:

·       Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması,

·       Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

·       Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

·       Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

·       İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

·       Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

·       Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

 

4.   SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından elde edilen kişisel verilerin saklama ve imha sürelerinin tespitinde aşağıdaki ölçütler kullanılmaktadır:

·       Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye uygun hareket edilir.  

·       Kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda,

o   Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlamaya göre, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Şirket nezdindeki önem derecesine göre belirlenir.

o   Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

 

Saklama süresi dolan kişisel veriler, işbu Politika’da yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 2 (iki) yıl süreyle saklanır.

 

5.   KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER

 

Şirketin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, idari, ticari, mali, hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketin güvenliğinin sağlanması, Şirketin meşru amaçları için kişisel verilerin işlenmesinin gerekli olduğu hallerde, toplanacak kişisel veriler Şirketin Veri Tabanlarında işlenmektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm veriler Şirket’in serverlarına kaydedilmektedir.

 

İdari Tedbirler:

Şirket idari tedbirler kapsamında;

·       Saklanan kişisel verilere Şirket içi erişim, ancak iş tanımı gereği erişmesi gerekli personel ile sınırlıdır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

·       İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

·       Kişisel verilerin paylaşıldığı 3. kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalanır veya mevcut sözleşmeye eklenen hükümler ile veri güvenliği sağlanır.

·       Kişisel verilerin işlenmesi konusunda ilgili personele kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilir.

·       Şirket, mevzuat hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

·       Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.

 

Teknik Tedbirler:

Şirket idari tedbirler kapsamında;

·       Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.

·       Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.

·       Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.

·       Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.

·       Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar

·       Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.

·       Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veya kriptografik yöntemler ile korur.

·       Özel nitelikli kişisel verileri üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.

·       Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

·       Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.

·       Özel nitelikli kişisel verilere uzaktan erişim gereken hallerde en az iki kademeli kimlik doğrulama sistemi sağlar.

·       Özel nitelikli kişisel verilerin aktarıldığı durumlarda;

o   Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,

o   Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,

o   Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın sağlanmasını,

o   Verilerin kağıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.

 

 

6.   KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ USULLERİ

Şirket, topladığı Kişisel Verileri, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendiliğinden veya Veri Sahibinin talebi üzerine silmekte, yok etmekte veya anonim hale getirmektedir. Kanun’un 28. maddesine uyarınca ise, anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilmektedir. Anonimleştirme sonrasında gerçekleştirilen bu tür işlemeler Kanun kapsamı dışında olup, bu durumda kişisel Veri Sahibinin açık rızası aranmamaktadır.

Bu çerçevede, Şirketimiz tarafından, aşağıda belirtilen silme, imha etme veya anonim hale getirme usullerinden biri veya birkaçı seçilerek, amaca en uygun yöntem izlenmektedir:

Yazılımdan Güvenli Olarak Silme: Şirket bünyesindeki dijital ortamlarda muhafaza edilen Kişisel Veriler, İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde ilgili yazılımdan silinmektedir. Ancak, bazı Kişisel Verilerin silinmesi sebebiyle diğer bir kısım verilere de sistemde erişimin mümkün olmadığı hallerde, silmeye konu Kişisel Veriler ilgili Veri Sahibi ile ilişkilendirilemeyecek duruma getirilerek arşivlenebilmektedir; bu durumda da ilgili Kişisel Veriler silinmiş sayılmaktadır. Böyle durumlarda Şirket, Kişisel Verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbiri almaktadır.

Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Şirketin topladığı fiziki evraklar, başvuru formları gibi kağıt ortamında toplanan Kişisel Veriler, bulundukları kağıt ortamında okunamayacak hale getirilerek de silinebilmektedir. Özellikle kötü niyetli, amaca yönelik olmayan kullanımı önlemek veya silinmesi talep edilen Kişisel Verileri silmek için, ilgili veya talebe konu tüm kişisel veriler fiziksel olarak belgenin bir kısmında kesilmekte veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmektedir.

Fiziksel Yok Etme: Şirket tarafından toplanan ve veri kayıt sistemlerinin parçası olmakla birlikte otomatik olmayan yollarla işlenen Kişisel Veriler, bulundukları ortamın üzerindeki Kişisel Verinin sonradan kullanılmasına imkan vermeyecek biçimde fiziksel olarak yok edilmesi suretiyle de yok edilebilmektedir.

Üzerine Yazma: Şirketçe kullanılan manyetik medya ve yeniden yazılabilir optik medya, özel yazılımlar aracılığı ile rastgele sayısal veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesi imkanını ortadan kaldıran bir veri yok etme yöntemidir. Üzerinde Kişisel Veri bulunan herhangi bir yeniden kullanılabilir manyetik medya, üzerine yazma yöntemi kullanılarak, içindeki veri geri dönüştürülemez şekilde temizlenmektedir.

Maskeleme: Maskeleme yöntemi ile, Kişisel Verilerin belli alanları üstleri çizilerek, boyanarak ve/veya yıldızlama yöntemi ile Veri Sahibi olan gerçek kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, Şirket bünyesinde yer alan müşteriye ait bir kimlik verisi, veri tabanından çıkartılarak, Veri Sahibinin tanımlanması imkânsız hale getirilmektedir.

Veri Türetme: Şirket, Veri Sorumlusu olarak saklamakta olduğu bazı Kişisel Verileri, pazarlama faaliyetleri için kullanabilmektedir. Bu tür verilerin veri tabanından silinmesini gerektiren durumların ortaya çıkması halinde, Şirket, veri türetme yöntemi ile Kişisel Verinin içeriğinden daha genel bir içerik oluşturarak Kişisel Verinin herhangi bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini sağlanmaktadır.

Genelleştirme: Kişisel Verilerin genelleştirilmesi yöntemi, ver tabanında mevcut birçok verinin toplulaştırılarak herhangi bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi ve böylece Şirketin Veri Sahiplerine bağlı ama bir takım sonuçları herhangi bir Kişisel Veri saklamaksızın takip edebilmesini sağlamak amacıyla kullanılmaktadır.

7.   KİŞİSEL VERİLERİ KORUMA KOMİTESİ,  GÖREV VE YETKİLERİ

 

Şirket bünyesinde Kişisel Verileri Koruma Komitesi kurulmuştur. Komite, Politika’nın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. Kişisel Verileri Koruma Komitesi kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.

 

8.   POLİTİKANIN YÜRÜRLÜĞE SOKULMASI, İHLAL DURUMLARI VE YAPTIRIMLAR

 

·       İşbu Politika, tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

·       Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

·       Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.

·       Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

 

EK-1 Personel Unvan, Birim ve Görev Listesi

 

PERSONEL

GÖREV

SORUMLULUK

Kurumsal İletişim Grup Şirketler

Direktörü

 

Kurumsal İletişim Departmanı- Kişisel veri saklama ve imha politikası uygulama

sorumlusu

 

Görevi dahilinde olan

süreçlerin saklama süresine

uygunluğunun sağlanması ile

periyodik imha süresi uyarınca

kişisel veri imha sürecinin

yönetimi

Hukuk Müşaviri- Avukat

 

Hukuk Departmanı- Kişisel veri saklama

ve imha politikası uygulama sorumlusu

 

Görevi dahilinde olan

süreçlerin saklama süresine

uygunluğunun sağlanması ile

periyodik imha süresi uyarınca

kişisel veri imha sürecinin

yönetimi

İnsan Kaynakları Müdürü

 

İnsan Kaynakları Departmanı-

Kişisel veri saklama ve imha politikası uygulama sorumlusu

 

Görevi dahilinde olan

süreçlerin saklama süresine

uygunluğunun sağlanması ile

periyodik imha süresi uyarınca

kişisel veri imha sürecinin

yönetimi

Bilgi İşlem Müdürü

 

Bilgi Teknolojileri Departmanı- Kişisel

veri saklama ve imha politikası uygulama

sorumlusu

 

Görevi dahilinde olan

süreçlerin saklama süresine

uygunluğunun sağlanması ile

periyodik imha süresi uyarınca

kişisel veri imha sürecinin

yönetimi

 

 

 

 

 

EK-2 Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo

Kişisel veriler Politika'nın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir:

 

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

İş Hukuku ve İş Kanunu kapsamında saklanılan veriler

İş ilişkisinin sona ermesinden sonra 10 yıl

Saklama süresinin bitimini takiben 6 ay

SGK Mevzuatı, İş Sağlığı ve Güvenliği mevzuatı, İş Kazası Meslek hastalığına ilişkin mevzuat kapsamında toplanan veriler

İş ilişkisinin sona ermesinden sonra 10 yıl

Saklama süresinin bitimini takiben 6 ay

İhale/işyeri açma/bakanlıklar kamu kurumları evrak hazırlama süreçleri

10 yıl

Saklama süresinin bitimini takiben 6 ay

Sözleşmelerin hazırlanması

10 yıl

Saklama süresinin bitimini takiben 6 ay

Finans, Muhasebe, ödeme işlemleri

İş ilişkisinin sona ermesinden sonra 10 yıl

Saklama süresinin bitimini takiben 6 ay

İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması

Dava zaman aşımı müddetince

Saklama süresinin bitimini takiben 6 ay

İşe alım, bordrolama, özlük evrakları

İş ilişkisinin sona ermesinden sonra 10 yıl

Saklama süresinin bitimini takiben 6 ay

Çalışan adaylarından alınan Özgeçmiş bilgisi

İşe alınmaması halinde 2 yıl

Saklama süresinin bitimini takiben 6 ay

Müşteri bilgileri

İş ilişkisinin sona ermesinden sonra 10 yıl

Saklama süresinin bitimini takiben 6 ay

Log/Kayıt/Takip Sistemleri

2 yıl

Saklama süresinin bitimini takiben 6 ay

Çağrı Merkezi Kayıtları

Görüşmelerin sona ermesinden sonra 10 yıl

Saklama süresinin bitimini takiben 6 ay

 

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır. Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.



[1] Gülsan Şirketleri; Gülsan Yatırım Holding Anonim Şirketi, Gülsan İnşaat Sanayi Turizm Nakliyat ve Ticaret A.Ş. , Gülsan Elektrik Enerjisi Toptan Satış AŞ., Çamyuva Turizm Yatırımları A.Ş., Çamyuva Otelcilik İşletmeleri A.Ş., Değirmenüstü Enerji Üretim Tic. ve San. AŞ. , Mar-En Enerji Üretim Tic. ve San. A.Ş. , Agen Enerji Üretim Tic. ve San. AŞ, Gülce Enerji Üretim Tic. Ve San. AŞ., Nur Elektrik Üretim AŞ. , Gülsü Enerji Üretim Tic. Ve San. AŞ., Tekpa Beton San. Mot. Araç. Paz. Ve San. AŞ. , Petpa Akaryakıt Mad. Yağ. Pet. San. Ve Tic. AŞ.