1. Anasayfa
  2. Kurumsal
  3. Kişisel Verileri Saklama ve İmha Politikası

Kişisel Verileri Saklama ve İmha Politikası

  • Politikanın Amacı

İşbu politika Umay Grup Yapı İnşaat San. ve Tic. A.Ş.’nin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik’in 5 ve 6. maddelerinde öngörülen yükümlülüklerini yerine getirebilmesi, ayrıca temel insan hakkı olan kişisel verilerin korunmasına firmamızın verdiği büyük önem sebebiyle, kişisel verilerin imha usul ve süreçlerini açıklamak amacıyla hazırlanmıştır.

  • Politikanın Kapsamı

Bu politika, Şirketimiz ile bağlantılı tüm tarafların otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, elektronik ortamda ya da basılı dokümanlarla işlenen tüm kişisel verilerini kapsamaktadır.

  • Tanımlar

Bu doküman içinde geçen kısaltmalar ve tanımlar tabloda gösterildiği gibidir:

 

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Şirket

Hoşnudiye Mah. 770 Sok. A-B-C Blok No:4A İç Kapı No:209 Tepebaşı/ESKİŞEHİR adresinde mukim Umay Grup Yapı İnşaat San. ve Tic. A.Ş.

Çerez (Cookie)

Kullanıcıların bilgisayarlarına yahut mobil cihazlarına kaydedilen ve ziyaret ettikleri web sayfalarındaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük dosyalardır.

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İrtibat Kişisi

Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi.

(İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini “irtibatı” sağlamak üzere görevlendirilen kişidir.)

Kanun/KVKK

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin

Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin

Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul

Kişisel Verileri Koruma Kurulu.

Özel Nitelikli

Kişisel

Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Periyodik İmha

Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika

Şirket tarafından oluşturulan kişisel veri koruma politikası.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sahibi/İlgili Kişi

Kişisel verisi işlenen gerçek kişi.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Yönetmelik

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği.

Kaynak:

6698 sayılı Kişisel Verilerin Korunması Kanunu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik – Veri Sorumluları Sicili Hakkında Yönetmelik – Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ – Veri Sorumlusuna Başvuru ve Usul Esasları Hakkında Tebliğ Veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
  • Kayıt Ortamları

Kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

 

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

•         Ağ cihazları

•         Ağ üzerinde veri saklaması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri

•         Yazılımlar (ofis yazılımları)

•         Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyaları, antivirüs vb.)

•         Çıkartılabilir diskler (USB, hafıza kartı gibi)

•         Kişisel bilgisayarlar (masaüstü, dizüstü)

•         Mobil Cihazlar (telefon, tablet vb.),

•         Optik diskler (CD, DVD vb.)

•         Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım vd.)

•         Yazıcı, tarayıcı, fotokopi makinesi

 

 

•         Arşiv

•         Kâğıt

•         Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

•         Yazılı, basılı, görsel ortamlar

•         Birim dolapları
  • Uygulama

Şirket benimsemiş olduğu vizyon, misyon ve temel değerleri gereğince, idari süreçlerini ve iş süreçlerini bağlı olduğu mevzuatlar doğrultusunda yürütmek, hizmet verdiği kişilere en iyi deneyimi sağlamak için teknolojik kaynak ve altyapıları da kullanarak “veri minimizasyonu” prensibi çerçevesinde kişisel ve özel nitelikli kişisel verileri işler. Verilerin işlenmesinde kanunun 4. maddesinde belirtilen ilkeler ve 12. maddesi gereği alınması gereken tedbirler göz önünde bulundurularak işlem yapılır. Kayıt saklama ortamları, elektronik veriler için bilişim sistemi sunucuları, uygulamaları, kurumsal bilgisayarı ve depolama ortamlarıdır, basılı dokümanlar için ise ofisler ve arşivlerdir.

 

 

  • Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

İlgili kişiye ait veriler, Şirket tarafından faaliyetlerinin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının planlanması, öğrencilere ve ailelerine sunulan hizmetlerin gerçekleştirilebilmesi, iş ortakları ile süreçlerin işletilebilmesi amacıyla fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanır.

Saklamayı gerektiren hukuki sebepler aşağıdaki gibidir:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 4734 sayılı Kamu İhale Kanunu,
  • 657 sayılı Devlet Memurları Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 5018 sayılı Kamu Mali Yönetimi Kanunu,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 5434 sayılı Emekli Sağlığı Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • Arşiv Hizmetleri Hakkında Yönetmelik,
  • Yükseköğretim Üst Kuruluşları ve Yükseköğretim Kurumları Saklama Süreli Standart Dosya Planı
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.

 

Ayrıca kişisel veriler,

  • İlgilinin açık rızası,
  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Şirketin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

hukuki sebepleri ile de saklanmaktadır.

  • Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

 

  • Acil durum süreçlerinin yürütülmesi
  • Bilgi güvenliği süreçlerinin yürütülmesi
  • İnsan kaynakları süreçlerini yürütmek
  • Çalışan adayı/Stajyer/Öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi
  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi
  • Eğitim faaliyetlerinin yürütülmesi
  • Finans ve muhasebe işlerinin yürütülmesi
  • Erişim yetkilerinin yürütülmesi
  • Kurumsal iletişimi sağlanması
  • Firma/Ürün/Hizmetlere bağlılık süreçlerinin yürütülmesi
  • Hukuki işlerin takibi ve yürütülmesi
  • Fiziksel mekân güvenliğinin sağlanması
  • İstatistiksel çalışmalar yapılabilmesi
  • İç denetim/soruşturma faaliyetlerinin yürütülmesi
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
  • İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
  • Lojistik faaliyetlerinin yürütülmesi
  • Mal/hizmet satın alım süreçlerinin yürütülmesi
  • Mal/hizmet satış sonrası destek hizmeti sağlanması
  • Organizasyon ve etkinlik yönetimi
  • Saklama ve arşiv faaliyetlerinin yürütülmesi
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
  • Ürün faturalarının düzenlenmesi
  • Şirket binasına giriş ve çıkışların kontrol altında tutulması ve izinsiz girişlerin engellenmesi
  • Yönetim kurulu üyelerinin Türk Ticaret Kanunu mevzuatından kaynaklı yükümlülüklerinin yerine getirilebilmesi
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemlerin ifa edilebilmesi
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesinin sağlanması
  • Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlanması
  • Yasal raporlamalar yapılabilmesi
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü

 

3.1.2 İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Yönetmelik uyarınca, aşağıda sayılan hallerde kişisel veriler veya özel nitelikli kişisel veriler, Şirket tarafından resen yahut ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir;

  • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  • Açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • İlgili kişinin, hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi ya da kurulun gereğinin yapılması yönünde karar vermesi,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

 

  • Uygulanan Teknik ve İdari Tedbirler

Şirket, bünyesinde kanunun 7’nci ve 12’nci maddesi göz önünde bulundurularak veri saklamada ve imhada teknik ve idari tedbirler alır. Alınan tedbirler aşağıda belirtildiği gibidir;

 

a)İdari ve Teknik Tedbirler

  • İmha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
  • Bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli önlemleri almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
  • Teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla gizlilik sözleşmesi imzalar, ilgili üçüncü kişilerin işbu gizlilik sözleşmesindeki yükümlülüklerine uyması için gerekli tüm özeni göstermektedir.
  • İmha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını periyodik olarak denetlemekte, gereken önlemleri almaktadır.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
  • Gizlilik sözleşmeleri hazırlanmaktadır. Gizlilik sözleşmeleri kapsamında kişisel verilerin korunmasına ilişkin ayrıca hükümler düzenlenmektedir.
  • Umay Grup bünyesinde çalışan mavi yaka/beyaz yaka personellerine KVKK farkındalık eğitimleri verilmektedir.
  • Çalışan/Çalışan adayı/Tedarikçi/Müşteri/Kamera kayıt sistemine ilişkin Aydınlatma Metinleri hazırlanmaktadır.
  • Umay Grup bünyesinde çalışan personellerin iş sözleşmeleri KVKK ile uyumlu hale getirilmiş, gerekli revizyonlar yapılmıştır.
  • Kamera sistemi bulunan şirket girişine katmanlı bilgilendirme yapabilmek adına levha asılmıştır.
  • Çalışan Aydınlatma Metni şirketin farklı noktalarına poster olarak asılmıştır.
  • Umay Grup bünyesinde çalışan personellere ilişkin kişisel verilerin saklandığı odalar bakımından erişim sınırlanması uygulanmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Çalışan bilgisayar vb. araç gereçlerine yetkisiz erişimlerin önüne geçmek adına söz konusu araç ve gereçleri yalnızca yetkili kişilerin kullanabilmesi sağlanmaktadır.
  • Yapılan işlemler için objektif delil üretecek kayıtlar oluşturulmaktadır.
  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • İşbu politikada yer alan her bir imha yöntemine ilişkin uygun teknik araç ve ekipman bulundurulmaktadır.
  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Umay Grup, silinen kişisel verilerin ilgili kullanıcılar için erişilmez ve tekrar kullanılmaz olması için gerekli tedbirleri almaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Özel nitelikli kişisel verilen güvenliğine yönelik ayrı politika belirlenmiştir.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz girişler engellenmektedir.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi yapılmaktadır.
  • Şifreleme yapılmaktadır.
  • Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun hazırlık çalışmaları yapılmıştır.
  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

3.1.4 Veri Silme, Yok Etme ve Anonim Hale Getirme

Bu politikanın 6.1 maddesinde belirtilen şartların ortadan kalkması halinde, kişisel veriler Şirket tarafından kendiliğinden veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Bu hususta ilgili kişi tarafından Şirket’e başvurulması halinde;

 

  • İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılır ve ilgili kişiye bilgi verilir,
  • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilir,
  • Durum, şartlar ve mevzuat gereği ilgili kişinin talep ettiği imha usulünün yerine başka bir imha usulünün kullanılması gerekmekteyse, durum ilgili kişiye verilecek cevapta açıklanarak, kullanılması lazım gelen usul ile imha gerçekleştirilir,
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda

Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri kendiliğinden silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilir.

 

İlgili kişinin Kanun’un 11. maddesinde gösterilen hakları kapsamında yaptığı başvurularda verilecek cevaplar ücretsiz olarak karşılanır. Her ne kadar cevabın ücretsiz verilmesi temel ilke olsa da verilecek cevabın ayrıca bir maliyet gerektirmesi durumunda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 7. maddesinde gösterilen ücretler Şirket tarafından ilgili kişiden talep edilebilecektir. İlgili madde şöyledir:

 

Ücret

MADDE 7 – (1) İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.

(2) Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

 

a)Kişisel Veri Silme

 

Sunucularda Yer Alan Kişisel Veriler                      : Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

 

Elektronik Ortamda Yer Alan Kişisel Veriler        : Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

Fiziksel Ortamda Yer Alan Kişisel Veriler              : Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

 

Taşınabilir Medyada Bulunan Kişisel Veriler      : Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

Veri Tabanındaki Kişisel Veriler                                : Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (delete vb.) silinir.

 

Şirket Bilgisayarlarındaki Kişisel Veriler                : Kişisel verilere kimlik doğrulama ile erişim sağlanır ve işletim sistemi komutları kullanılarak silinir.

 

  1. b) Kişisel Veri Yok Etme

 

Fiziksel Ortamda Yer Alan Kişisel Veriler İçin Yok Etme;

Fiziksel Yok Etme

 

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler yakılarak veya kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde öğütülerek yok edilir.

 

Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme;

Fiziksel Yok Etme

Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz halinde getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanmaktadır.

Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme;

Yazılımdan Güvenli Olarak Silme

Bulut ortamında tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır halde getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.
  1. c) Kişisel Veri Anonimleştirme

Veri Kayıt Ortamı

Açıklamalar

Bölgesel Gizleme

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Değişkenleri Çıkarma

İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.

Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.

Genelleştirme

Birçok kişiye ait kişisel verilerin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.

Maskeleme

Veri maskeleme, kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

Veri Değiş Tokuşu

Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.
  • Veri Saklama ve İmha Süreleri

Kişisel verilerin saklanma süreleri belirlenirken yasal düzenlemelerin getirdiği yükümlülükler Umay Grup tarafından göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları ve Umay Grup’un ilgili kişisel veriyi işlemesindeki meşru menfaat göz önüne alınarak saklama süresi belirlenir. Bu doğrultuda öncelikle kişisel verilerin saklanması için ilgili mevzuatta bir süre öngörülüp öngörülmediği tespit edilmekte olup süre öngörüldüğü takdirde işbu süre kadar kişisel verilerin muhafazası sağlanmaktadır. İlgili mevzuatta süre öngörülmediği takdirde kişisel veriler işleme amacı için gerekli süre kadar muhafaza edilmektedir. Kurul tarafından aksi yönde bir karar alınmadığı takdirde kişisel verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi yöntemlerinden en uygun olan Umay Grup tarafından seçilmektedir.

 

Veri Saklama ve İmha Süreleri

Veri saklama ve imha süreleri kişisel veri envanterinde detaylı olarak gösterilir.

 

Verisi İşlenen Kişi Grubu

Veri Kategorisi

Veri Saklama Süresi

Çalışan

Kimlik, lokasyon, iletişim, özlük, hukuki işlem, fiziksel mekan güvenliği, işlem güvenliği, mesleki deneyim, görsel-işitsel kayıtlar, biyometrik veri, görev ve unvan verisi, çalışan yakını bilgisi

İş akdinin feshinden itibaren 5 yıl süre ile saklanır

Çalışan

Sağlık

İş akdinin feshinden itibaren 5 yıl süre ile saklanır.

Çalışan Adayı/Stajyer

Kimlik, iletişim, hukuki işlem, mesleki deneyim, görsel-işitsel kayıtları, biyometrik veri, görev ve unvan verisi

İşe başvuru tarihinden itibaren 6 ay, iş akdinin feshinden itibaren 5 yıl süre ile saklanır.
     

Ziyaretçi

Kimlik, fiziksel mekan güvenliği

Ziyaretçi kaydının oluşturulduğu tarihten itibaren 55 gün süre ile saklanır.

İnternet sitesi ziyaretçisi

İşlem güvenliği

Kaydın oluşturulmasından itibaren 10 yıl süre ile saklanır.

Ürün/hizmet alan kişi

Kimlik, iletişim, işlem güvenliği, müşteri işlem

Hizmet alan kişinin satın almış olduğu her bir ürün/hizmet tarihinden itibaren 10 yıl süre ile saklanır.

Ürün/hizmet alan kişi

Fiziksel mekan güvenliği

Olağan zamanlarda 55 gün, adli vakalarda dava zamanaşımı kadar saklanır.

 

Şirketin işbirliği içinde olduğu kurum/firma/tedarikçi/bayi

Kimlik, iletişim bilgisi, finansal bilgiler

İş/ticari ilişki süresince ve sona erme tarihinden itibaren 10 yıl süre ile saklanır.

 

İmha Süreleri

Umay Grup, KVKK, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, KVKK’nın 13. maddesine istinaden Umay Grup’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Umay Grup talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Umay Grup’un talebi almış sayılması için ilgili kişinin talebini, resmi internet sitesinde ilan edilmiş olan Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Düşlersam, her halde yapılan işlemle ilgili, ilgili kişiye bilgi verir.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Umay Grup tarafından KVKK’nın 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Umay Grup işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Umay Grup, Yönetmeliğin 11 inci maddesi gereği periyodik imha süresini 6 ay olarak belirlemişti

 

Politikanın Yayımlanması-Saklanması ve Güncellenmesi

Politika, basılı kağıt ve internet ortamı olmak üzere iki farklı ortamda yayımlanmakta olup internet sayfasında kamuya açıklanır.

 

Politikanın, ihtiyaç duyulduğunda, gerekli bölümleri gözden geçirilerek düzenlemeler yapılır. İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonuna eklenir.

 

VERİ SORUMLUSU KİMLİK ve İLETİŞİM BİLGİLERİ

                İşbu aydınlatma metni, aşağıda bilgileri verilen “Veri Sorumlusu” tarafından ilgili veri sahibi kişilere hitaben düzenlenmiştir.

 

Ticari Unvan                  :Umay Grup Yapı İnşaat San. ve Tic. A.Ş. (VKN: 8920554874)

Adres                                  :Hoşnudiye Mah. 770 Sok. A-B-C Blok No:4A İç Kapı No:209                                                                  Tepebaşı/ESKİŞEHİR

Tel                                       : …………
KEP Adresi                      :