KVKK

Veri Saklama ve İmha Politikası

YILMAZ PETROL

 TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

 

Hazırlanma Tarihi             :26.12.2019

Yürürlük Tarihi                 :31.12.2019

Son Revizyon Tarihi         : ---

 

© Yılmaz Petrol Ticaret Anonim Şirketi, 2019

İşbu belge Yılmaz Petrol Ticaret Anonim Şirketi’ninyazılı izni olmaksızın çoğaltılıp dağıtılamaz.

  1. GİRİŞ

Kişisel verilerin korunması, Yılmaz Petrol Ticaret Anonim Şirketi’nin(“Şirket”) en çok önem verdiği konulardan birisidir.Şirketimiz bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. İşbu Kişisel Verileri Saklama ve İmha Politikası’nın amacı (“Politika”), Şirket nezdinde gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin usul ve esasları belirtmek ve faaliyette bulunanların rol ve sorumluluklarını belirlemektir.

İşbu Politika ile Şirketimize ait ‘’https://www.yilmazpetrol.com.tr/’’internet adresinden ulaşabileceğiniz “Yılmaz Petrol Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve Gizlilik Politikası” ayrılmaz bir bütündür.

  1. Amaç

ŞirketimizinYılmaz Petrol Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve Gizlilik Politikası’na uygun olarak işlediği;çalışan, çalışan adayı, ziyaretçi, tedarikçi, iş ortakları, müşteri veya kişisel verisini işlediği diğer üçüncü kişilere ait kişisel verilerin; Türkiye Cumhuriyeti Anayasası, ülkemizin bağlı olduğu uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun (“Kanun”) ve diğer ilgili mevzuata uygun bir biçimde işlenmesini, saklanmasını ve imhasını sağlamaktır.

  1. Kapsam

İşbu Politika, Şirket nezdinde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilen kişisel verilerin işlendiği tüm kayıt ortamlarında ve kişisel veri işlenmesine yönelik faaliyetlerinde uygulanmaktadır. Hukuka ve Yılmaz Petrol Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve Gizlilik Politikası’nauygun bir şekilde işlenen kişisel verilere; Şirket’in hâkimiyetinin ne kadar süre devam edeceği, veri güvenliğinin Şirket tarafından ne şekilde tesis edileceği ve benzeri hususlar işbu Politika aracılığıyla açıklanmaktadır.

  1. Tanımlar

İşbu Politika’dayer verilen tanımlı ifadeler, aşağıdaki anlamları ifade eder:

Açık Rıza

:

Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme

:

Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Başvuru Formu

:

İlgili kişilerin haklarını kullanmak için yapacakları başvuruyu içeren “6698 sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) tarafından Veri Sorumlusuna Yapılacak Başvuru Formu”

Çalışan Adayı

:

Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış gerçek kişiler.

Elektronik Ortam

:

Kişisel verilerin elektronik aygıtlar ile oluşturabildiği, okunabildiği, değiştirebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam

:

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri diğer ortamlar.

İş Birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları, Yetkilileri

:

Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri de dâhil olmak üzere gerçek kişiler.

İş Ortağı

:

Şirketimizin ticari faaliyetini sürdürürken muhtelif projeler yürütmek, hizmet veya mal almak gibi amaçlarla iş ortaklığı kurduğu taraflar.

İlgili Kişi

:

Kişisel veri sahibi.

İmha

:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel Veri

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri Saklama Tablosu

:

Kişisel verilerin Şirket nezdinde tutulacağı süreleri gösteren tablo.

Kişisel Verilerin İşlenmesi

:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Veri İşleme Envanteri

:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Veri Koruma Komitesi

:

Şirket nezdinde kişisel veri işleme ilişkin tüm faaliyetlerinin takip edilmesinden ve gereklerinin yerine getirilmesinden sorumlu olan komite.

Kurul

:

Kişisel Verilerin Korunması Kurulu.

Özel Nitelikli Kişisel Veri

:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha

:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Şirket Web Sitesi

:

Şirkete ait ‘’https://www.yilmazpetrol.com.tr/’’adresli internet sitesi.

Şirket Yetkilisi

:

Şirketimiz yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler.

Veri Sorumlusu

:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

VERBİS

:

Veri Sorumluları Sicil Bilgi Sistemi.

Veri Sorumlusu

:

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri İşleyen

:

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişi.

Ziyaretçi

:

Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.

  1. SORUMLULUK VE GÖREV DAĞILIMLARI

Şirket’in tüm birimleri ve çalışanları, Kanun’undan ve veri hukukuna ilişkin ikincil mevzuattan kaynaklanan yükümlülüklerin yerine getirilebilmesinde aktif rol almaktadır.

Şirket, bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Yılmaz Petrol Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve Gizlilik Politikası ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak, yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Veri Komitesi bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden oluşur. Kişisel Veri Komitesinde görevli Şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

Unvan

Görev Tanımı

Kişisel Veri Komitesi Yöneticisi:

Kanun’a uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Gizlilik Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.

 

Kişisel Verilerin Korunması Uzmanı:

(Teknik Uzman ve İdari)

İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

  1. KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girmektedir. İlgili kişilere ait kişisel veriler, Şirket tarafından aşağıdaki tabloda listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliğine ilişkin ilke ve kurallar çerçevesinde güvenli bir şekilde saklanmakta ve korunmaktadır. Kişisel veriler, Şirketimiz tarafından aşağıda listelenen ortamlarda hukuka uygun bir şekilde saklanmaktadır:

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

  • Sunucular (Yedekleme, E-posta Veri Tabanı, Web, Dosya Paylaşımı ve benzeri)
  • Manuel veri kayıt sistemleri(Anket formları,  ziyaretçi giriş defteri.)
  • Yazılımlar
  • Birim Dolapları
  • Bilgi Güvenliği Cihazları (Güvenlik Duvarı, Saldırı Tespit ve Engelleme, Antivirüs ve benzeri)
  • Arşiv
  • Masaüstü Bilgisayarlar

 

  • Mobil Cihazlar, Telefonlar

 

  • Optik Disk (CD, DVD)

 

  • Çıkartılabilir bellekler(USB, Hafıza Kartı, Harici Hard Disk ve benzeri)

 

  • Yazıcı, tarayıcı, fotokopi makinesi

 

  1. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Şirket tarafından çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler,  işbu Politika’ya, Kişisel Verilerin Korunması ve Gizlilik Politikası’na ve Kanun’a uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yerverilmiştir.

  1. Kişisel Verilerin Saklanmasına İlişkin Açıklamalar

Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması veilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesigerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülenveya işleme amaçlarımıza uygun süre kadar saklanır.

Şirketimizin verilerin saklanmasına yönelik benimsediği temel prensipleri aşağıdaki şekildedir:

  • Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta herhangi bir süre öngörülmüş ise öngörülen sürenin sonuna kadar Şirket, kişisel verileri saklamaktadır. Olası bir hukuki veya idari merci talebinin Şirket’e geç veya eksik bir şekilde ulaşması veya muhtemel bir hukuki ihtilafta işlenen verinin delil teşkil etmesi amacıyla verilerin saklanması için mevzuatta öngörülen süreye en fazla periyodik imha süresi kadar bir süre eklenerek verilerin saklama süresi yenilenmektedir. Yenilenen saklama süresinin sonunda ise ilgili kişinin talebi olmaksızın kişisel veriler silinmektedir.
  • Mevzuatta, işlenen verinin saklanma süresine yönelik herhangi bir süre öngörülmemiş ise ilgili kişi ile yapılan sözleşmede belirlenen süre boyunca veriler saklanmaktadır. Ancak ilgili kişiyle sözleşme ilişkisi bulunmuyor ise Şirketimiz o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak yerleşik bir ticari teamül/olağan beklenti var ise teamül/beklenti uyarınca verinin saklanması gerektiren süre sonuna kadar kişisel veri saklanmaktadır. Sözleşme ilişkisi sona erdikten veya sözleşmede belirlenen süre geçtikten sonra ya da yapılan iş ile bağlantılı olarak verinin saklanması için olağan beklenen sürenin sonuna gelinmesi halinde kişisel veri ilgili kişinin herhangi bir talebi olmaksızın Şirketimiz tarafından silinmektedir.
  1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler ve Saklama Amaçları

Şirketimiz, faaliyetleri çerçevesinde işlediği kişisel verileri, ilgili mevzuatta öngörülen süre kadar muhafaza etmektedir. Bu kapsamda kişisel veriler;

  • 4857 sayılı İş Kanunu
  • 3475 sayılı Vergi Usul Kanunu
  • 6102 sayılı Türk Ticaret Kanunu
  • 6098 Sayılı Türk Borçlar Kanunu
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
  • 5237 sayılı Türk Ceza Kanunu
  • 5437 sayılı Emekli Sağlığı Kanunu
  • 4982 sayılı Bilgi Edinme Kanunu
  • 6502 sayılı Tüketici Haklarının Korunması Hakkında Kanun
  • 2828 sayılı Sosyal Hizmetler Kanunu
  • Bu kanunlar uyarınca yürürlükte olan ikincil mevzuat
  • Sair yürürlükteki mevzuat

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Şirketimiz bünyesinde işlenen kişisel veriler işbu Politika’ya, Kişisel Verilerin Korunması ve Gizlilik Politikası’na ve Kanun’a uygun olarak ve bunlarda belirtilen amaç ve nedenlerle saklanmaktadır.

  1. Kişisel Verilerin İmhasını Gerektiren Sebepler

Kişisel veriler, aşağıdaki hallerde Şirketimiz tarafından ilgili kişinin talebi üzerine silinmekte ve yok edilmektedir. Ayrıca belirtilen durumlarda Şirket, herhangi bir talep olmaksızın kişisel verileri silmekte yok etmekte veya anonim hale getirmektedir.

  • Verinin işlenmesine esas teşkil eden mevzuat hükümlerin değiştirilmesi veya ortadan kaldırılması,
  • Şirket’in Kanun’un 5. ve 6. Maddesinde yer alan işleme amacının ortadan kalkması,
  • Kişisel verinin sadece açık rıza alınması halinde Şirket tarafından işlendiği durumlarda ilgili kişinin açık rızasını geri alması,
  • İlgili kişinin Kanun’un 11. Maddesi kapsamındaki hakları çerçevesinde kişisel verilerinin silinmesi veya yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi ancak gereğinin yerine getirilmemesi halinde ilgili kişinin Kişisel Verileri Koruma Kurum’una yapacağı başvurunun kabul edilmesi,
  • İlgili kişinin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi Şirket’e yaptığı başvurunun reddedilmesi, verilen cevabın yetersiz kalması veya Kanun’da öngörülen süre içerisinde cevap verilmemesi durumlarında; ilgili kişinin Kurul’a şikayette bulunması ve bu talebin Kurul tarafından kabul edilmesi,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel veriyi daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
  1. KİŞİSEL VERİLERİN SAKLANMASIYLA İLGİLİ İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve verilerin hukuka uygun bir biçimde imhasının gerçekleştirilebilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirketimiz tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmaktadır.

  1. İdari Tedbirler
  • Şirket tarafından işlenen verilere erişim,  Şirket işleyişini sağlamak adına işin tanımı gereği erişimin gerekli olduğu personel tarafından gerçekleştirilmektedir. Örneğin: işçi özlük dosyasından herhangi bir evrak ilgili bağımsız danışanlardan mahkemeye sunulmak adına talep edildiği takdirde özlük dosyasında yer alan evraka sadece insan kaynakları sorumlusu veya onun yetkisi dahilindeki kişi erişim sağlayabilmektedir.
  • Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı Şirket tarafından dikkate alınmaktadır. Özel nitelikte kişisel verilerin korunması adına Şirket üzerine düşen görev ve sorumlulukları eksiksiz bir şekilde yerine getirmektedir.
  • Şirket, işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirmektedir.
  • Şirket, kişisel verilerin aktarımına ilişkin olarak kişisel veri aktarımının yapıldığı veri işleyenlerle birlikte kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalamakta veyahut mevcut sözleşmesine eklenen hükümler ile Kanun’dan ve ikincil mevzuattan kaynaklanan yükümlülükleri yerine getirmektedir.
  • Şirket, kişisel verilere ilişkin her aşama hakkında bilgili ve deneyimli çalışanlar istihdam etmeye özen göstermektedir. Şirket çalışanlarına kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri vermekte ve devamlı surette farkındalığın arttırılması adına seminerler düzenlemektedir.
  • Şirket kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaktadır. Şirket denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini takip etmekte ve eksikleri gidermek adına derhal faaliyete geçmektedir.
  • Şirket tarafından yürütülen faaliyetlere ilişkin personellere gizlilik sözleşmeleri imzalatılmaktadır.
  • Veri güvenliğine ilişkin Şirket tarafından tanzim edilen politika ve prosedürlere uymayan çalışanlara uygulanacak disiplin cezası uygulanmaktadır.
  • Şirket tarafından Kişisel Veri İşleme Envanteri hazırlanmıştır ve Şirket VERBİS’e kayıt yükümlülüğünü yerine getirmiştir.
  • Şirket tarafından Kişisel Verilerin Korunması ve Gizlilik Politikası hazırlanmış ve bu politika Şirket Web Sitesi’nde yayımlanmıştır.
  • Kişisel veri güvenliği politika ve prosedürler belirlenmiştir.Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi yapılmakta olup veri güvenliği konusunda farkındalık sağlanmaktadır.
  1. Teknik Tedbirler

Şirket, veri güvenliğini sağlamak amacıyla;

  • Bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli eğitimleri verir.
  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
  • Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
  • Kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar.
  • Ağ güvenliği, uygulama güvenliği sağlar ve ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanır.
  • Çalışanlar için yetki matrisi oluşturur ve erişim loglarını düzenli olarak tutar. Log kayıtlarını kullanıcı müdahalesi olmayacak şekilde tutar.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlar ve uygular.
  • Güncel anti-virüs sistemleri kullanılır.
  • Güvenlik duvarları kullanır.
  • Kullanıcı hesap yönetimi, yetki kontrol sistemi uygular ve bunların takibini sağlar.
  • Mevcut risk ve tehditler belirleyerek saldırı tespit ve önleme sistemleri kullanır.
  • Siber güvenlik önlemleri alır ve önlemlerin uygulanmasını sürekli olarak takip eder.
  • Şifreleme yapar. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler verileri şifreleyerek aktarır.
  • Sızma testi uygular.
  • Veri kaybı önleme yazılımları kullanır.
  1. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

Mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından resen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuatta yer olan hükümlere uygun bir biçimde aşağıda belirtilen tekniklerle silinir, anonim hale getirilir veya yok edilir.

  1. Kişisel Verilerin Silinmesi

Kişisel veriler, aşağıdaki tabloda belirtilen şekilde silinir:

Veri Kayıt Ortamı

Silme Yöntemine İlişkin Açıklama

Sunucularda yer alan kişisel veriler

Sunucularda yer alan kişisel verilerin saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik ortamda yer alan kişisel veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler veritabanı yöneticisi hariç diğer çalışanlar(ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel ortamda yer alan kişisel veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca üzeri okunamayacak şekilde çizilerek/boyanarak/karartma işlemi uygulanır.

Taşınabilir medyada bulunan kişisel veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

  1. Kişisel Verilerin Yok Edilmesi

Kişisel veriler, aşağıdaki tabloda belirtilen şekilde yok edilir:

Veri Kayıt Ortamı

Yok Edilme Yöntemine İlişkin Açıklama

Fiziksel ortamda yer alan kişisel veriler

Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinden veya yakılarak geri döndürülmeyecek şekilde yok edilir.

Optik/manyetik medyada yer alan kişisel veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması, kırılması veya toz haline getirilmesi gibi fiziksel yok etme işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale gelmektedir.

  1. Kişisel Verilerin Anonimleştirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Şirketimizin kişisel verileri anonim hale getirmek için kullanmış olduğu teknik ve yöntemler aşağıdaki tabloda belirtildiği şekildedir:

Anonim hale getirme yöntemleri

Açıklama

Değişkenleri Çıkartma

Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir.

 

Kayıtları Çıkartma

Veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Genellikle çıkartılan kayıtlar diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği kayıtlardır.

 

Bölgesel Gizleme

Veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaya yaramaktadır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilir.

Veri Değiş Tokuşu

Kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Bu yöntem temel olarak kategorize edilebilen değişkenler için kullanılmaktadır ve ana fikir değişkenlerin değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının dönüştürülmesidir.

Gürültü Ekleme

Seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkarmalar yapılır. Bu yöntem çoğunlukla sayısal değer içeren veri kümelerinde uygulanır. Bozulma her değerde eşit ölçüde uygulanır.

  1. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

  • Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
  • Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
  • Süreç bazında saklama süreleri ise işbu Politika’da

yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Şirket ve Kişisel Veri Komitesi tarafından güncellemeler yapılır.Saklama süreleri sona eren kişisel veriler için resen silme, yok etme veya anonim halegetirme işlemi Şirket ve Kişisel Veri Komitesi tarafından yerinegetirilir.

SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Personel özlük işlemlerinin yürütülmesi

İş ilişkisinin bitiminden sonra 10 yıl.

Saklama süresinin bitimini takiben 180 gün içerisinde.

İş başvuru süreçleri

Başvurunun olumsuz sonuçlanması halinde, başvurunun olumsuz sonuçlanmasından itibaren 2 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Personel özel sağlık ve ferdi kaza sigorta poliçeleri

İş ilişkisinin bitiminden sonra 10 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

İş sağlığı ve güvenliği uygulamaları

İş ilişkisinin bitiminden sonra 10 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Çalışan finansman süreci yönetimi ve ücrete ilişkin tüm dökümanlar

İş ilişkisinin bitiminden sonra 10 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

İnsan kaynakları faaliyet süreçlerinin yönetilmesi

Faaliyetin sona ermesini takiben 10 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Ziyaretçi ve katılımcı kayıtlarının oluşturulması

Kayıt tarihinden itibaren 2 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Talep/Şikayet Toplanma Süreci

Kayıt tarihinin alınmasından itibaren 10 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Kamera kayıtlarının tutulmasına ilişkin süreçler

Görüntü kayıtlarının alınmasından itibaren 2 Hafta.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Üçüncü kişilerle sözleşmelerin imzalanması süreçleri

Sözleşme ilişkisinin bitiminden itibaren 10 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Müşteriler, tedarikçiler ve iş ortaklarıyla ticari süreçlerin yürütülmesi

Hukuki sürecin veya işin tamamlanmasından itibaren 10 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Logkayıtlarının tutulması

3 yıl

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Risk Yönetiminin Sağlanması

Hukuki sürecin veya işin tamamlanmasından itibaren 10 yıl.

Saklama süresinin bitimini takip eden 180 gün içerisinde.

İşlem Güvenliğinin Sağlanması

2 yıl

Saklama süresinin bitimini takip eden 180 gün içerisinde.

Fiziksel Mekan Güvenliğinin Sağlanması

3 ay

Saklama süresinin bitimini takip eden 180 gün içerisinde

  1. PERİYODİK İMHA SÜRESİ

Şirketimiz, periyodik imha süresini altı (6) ay olarak belirlemiştir. Böylelikle Şirketimiz altı ayda bir periyodik imha işlemi gerçekleştirmektedir. Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve ilgili kişi Şirket birimleri işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç altı (6) aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir. İlgili kişinin başvurusu ya da Kurul’un veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarını gözden geçirmekle yükümlüdür.

Kişisel verilerin maskelenmesi, silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle Şirketimiz nezdindesaklanmaktadır.

  1. YÜRÜRLÜK

Politika,Şirket Web Sitesi’nde yayınlanarak, üçüncü taraflara ve Şirket çalışanlarına duyurulur.Kanun ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle Kanun ve ilgili diğer mevzuat hükümleri uygulanacaktır.İşbu Politika yılda bir defa, Şirket tarafından gözden geçirilir ve güncellenir.İşbu Politika ve Yılmaz Petrol Ticaret Anonim Şirketi Kişisel Verilerin Korunması ve Gizlilik Politikası ayrılmaz bir bütündür. Şirket tarafından hazırlanan işbu Politika 31/12/2019 tarihinde yürürlüğe girmiştir.