Kişisel Veri Saklama ve İmha Politikası

PDF İndir

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

BULUŞ ENERJİ ANONİM ŞİRKETİ
6698 sayılı KVKK ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında hazırlanmıştır.

İçindekiler

Politikanın Amaç ve Kapsamı
Tanımlar
Sorumluluklar ve Görev Dağılımı
Kayıt Ortamları
Saklama ve İmhaya İlişkin Açıklamalar
Kişisel Verilerin Güvenliğinin Sağlanması (Teknik ve İdari Tedbirler)
Kişisel Verileri İmha Teknikleri
Saklama ve İmha Süreleri
Periyodik İmha
Politikanın Yayınlanması ve Saklanması
Politikanın Güncellenmesi ve Yürürlükten Kaldırılması

1. Politikanın Amaç ve Kapsamı

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), Buluş Enerji Anonim Şirketi (“Şirket”) tarafından gerçekleştirilen kişisel veri saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.

Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca; kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması ya da mevzuatta öngörülen azami saklama sürelerinin dolması durumunda, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yükümlülüklerin yerine getirilmesi ve ilgili kişilerin bu süreçler hakkında bilgilendirilmesi amacını taşır.

Bu Politika; Şirket çalışanları, çalışan adayları ve stajyerleri, tedarikçi/iş ortağı yetkilileri ve çalışanları, müşteri yetkilileri, ziyaretçiler, hissedar/ortaklar ile diğer üçüncü kişilere ait, Şirketin sahip olduğu veya yönettiği tüm kayıt ortamlarında tutulan kişisel veriler bakımından uygulanır.

2. Tanımlar

Alıcı Grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli/belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan	Şirket personeli.
Elektronik Ortam	Kişisel verilerin elektronik aygıtlarla oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. ortamlar.
Hizmet Sağlayıcı	Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu kişi/birim hariç olmak üzere, veri sorumlusunun organizasyonu içinde veya ondan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun	6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı işleme faaliyetlerini; amaç ve hukuki sebep, veri kategorisi, alıcı grubu ve kişi grubuyla ilişkilendirerek; azami saklama süresi, yurt dışına aktarım ve güvenlik tedbirlerini açıklayarak detaylandırdıkları envanter.
Özel Nitelikli Kişisel Veri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha	İşleme şartlarının tamamen ortadan kalkması durumunda, bu Politikada belirtilen ve tekrar eden aralıklarla re'sen gerçekleştirilen silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu gerçek/tüzel kişi.
Kurul / Kurum	Kişisel Verileri Koruma Kurulu / Kişisel Verileri Koruma Kurumu.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi.
Yönetmelik	28 Ekim 2017 tarihli Resmî Gazete'de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

3. Sorumluluklar ve Görev Dağılımı

Şirketin tüm birimleri ve çalışanları; sorumlu birimlerce Politika kapsamında alınan teknik ve idari tedbirlerin gereği gibi uygulanması, çalışanların eğitimi ve farkındalığının artırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı işlenmesinin ve verilere hukuka aykırı erişimin önlenmesi amacıyla, veri güvenliğini sağlamaya yönelik tedbirlerin alınmasında sorumlu birimlere aktif destek verir. Saklama ve imha süreçlerinde görev alanların unvan, birim ve görev dağılımı Tablo 1'de yer almaktadır.

Unvan	Birim	Görev
Yönetim Kurulu / Şirket Yetkilisi	Buluş Enerji A.Ş.	Çalışanların Politikaya uygun hareket etmesinden ve gerekli kaynakların sağlanmasından sorumludur.
KVKK İrtibat Kişisi / İnsan Kaynakları	İnsan Kaynakları	Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayımlanması ve güncellenmesinden sorumludur.
Bilgi İşlem / BT Sorumlusu	Bilgi İşlem	Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulması ile elektronik ortamlardaki imha işlemlerinin yürütülmesinden sorumludur.
Diğer Birim Yöneticileri	İlgili Birimler	Görev alanları kapsamında Politikanın yürütülmesinden ve fiziksel ortamlardaki imha işlemlerinden sorumludur.

Veri işleyen sıfatına ilişkin sorumluluk: Şirketin, dağıtım şirketleri adına veri işleyen sıfatıyla işlediği abone/tüketici verilerinde, veri güvenliği ve imha bakımından ilgili dağıtım şirketi (veri sorumlusu) ile müştereken sorumluluk esastır. Bu veriler, veri sorumlusunun (dağıtım şirketinin) talimatı ve saklama-imha politikası doğrultusunda saklanır ve imha edilir; hizmetin sona ermesi hâlinde veri sorumlusuna iade edilir veya talimatına göre imha edilir.

4. Kayıt Ortamları

Kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır. Bir kısım veriler, sahip oldukları özel nitelik ya da hukuki yükümlülükler nedeniyle farklı bir ortamda da tutulabilir.

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular (etki alanı, yedekleme, e-posta, veritabanı, dosya paylaşımı vb.); muhasebe/ön muhasebe ve İK yazılımları; kurumsal e-posta hesapları; personel devam kontrol sistemi (PDKS); güvenlik kamerası (CCTV) kayıt üniteleri; saha personeline tahsis edilen tablet/akıllı cihazlar; araç takip (GPS) sistemleri; kişisel bilgisayarlar ve mobil cihazlar; bilgi güvenliği cihazları (güvenlik duvarı, log kayıt dosyaları, antivirüs); taşınabilir bellekler (USB, hafıza kartı), optik diskler.	Kâğıt ortamı; çalışan özlük dosyaları; manuel veri kayıt sistemleri (ziyaretçi giriş defteri, iş başvuru ve İK form/dilekçe örnekleri, saha iş emirleri/tutanaklar); birim dolapları ve kilitli arşiv alanları; yazılı, basılı ve görsel ortamlar.

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular (etki alanı, yedekleme, e-posta, veritabanı, dosya paylaşımı vb.); muhasebe/ön muhasebe ve İK yazılımları; kurumsal e-posta hesapları; personel devam kontrol sistemi (PDKS); güvenlik kamerası (CCTV) kayıt üniteleri; saha personeline tahsis edilen tablet/akıllı cihazlar; araç takip (GPS) sistemleri; kişisel bilgisayarlar ve mobil cihazlar; bilgi güvenliği cihazları (güvenlik duvarı, log kayıt dosyaları, antivirüs); taşınabilir bellekler (USB, hafıza kartı), optik diskler.

Kâğıt ortamı; çalışan özlük dosyaları; manuel veri kayıt sistemleri (ziyaretçi giriş defteri, iş başvuru ve İK form/dilekçe örnekleri, saha iş emirleri/tutanaklar); birim dolapları ve kilitli arşiv alanları; yazılı, basılı ve görsel ortamlar.

5. Saklama ve İmhaya İlişkin Açıklamalar

Şirket tarafından; çalışanlar, çalışan adayları/stajyerler, tedarikçi ve iş ortağı yetkilileri/çalışanları, müşteri yetkilileri, ziyaretçiler, hissedar/ortaklar ve diğer üçüncü kişilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

5.1 Saklamayı Gerektiren Hukuki Sebepler

Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, başta aşağıdakiler olmak üzere ilgili mevzuatta öngörülen süreler kadar saklanır:

6698 sayılı Kişisel Verilerin Korunması Kanunu,
4857 sayılı İş Kanunu,
6098 sayılı Türk Borçlar Kanunu,
6102 sayılı Türk Ticaret Kanunu,
213 sayılı Vergi Usul Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun,
2004 sayılı İcra ve İflas Kanunu,
6446 sayılı Elektrik Piyasası Kanunu ve ilgili ikincil mevzuat (dağıtım/şebeke hizmetleri kapsamında),
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik ile
bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.

5.2 Saklamayı Gerektiren İşleme Amaçları

İnsan kaynakları ve özlük süreçlerini yürütmek; çalışan hak ve yan haklarını planlamak ve ifa etmek,
İş sağlığı ve güvenliği yükümlülüklerini yerine getirmek,
Şirketin ticari ve operasyonel işleyişini ve iş sürekliliğini sağlamak,
Saha operasyonlarının ve filo/araç yönetiminin yürütülmesi,
İmzalanan sözleşme ve protokoller neticesinde iş ve işlemleri ifa etmek,
Kurumsal iletişimi, fiziksel mekan ve bilgi güvenliğini sağlamak,
Yasal düzenlemelerin gerektirdiği hukuki yükümlülükleri yerine getirmek ve yetkili kurumlara bilgi vermek,
İlgili kişilerin talep ve şikâyetlerini sonuçlandırmak,
İleride doğabilecek hukuki uyuşmazlıklarda ispat ve delil yükümlülüğünü yerine getirmek.

5.3 İmhayı Gerektiren Sebepler

Kişisel veriler;

İşlenmesine esas teşkil eden mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
İşlemenin yalnızca açık rızaya dayandığı hâllerde ilgili kişinin açık rızasını geri alması,
İlgili kişinin Kanun m.11 kapsamındaki silme/yok etme başvurusunun kabul edilmesi veya yargı kararı,
Şirketin, ilgili kişinin talebini reddetmesi/yetersiz cevap vermesi/süresinde cevap vermemesi üzerine yapılan şikâyetin Kurul tarafından uygun bulunması,
Saklamayı gerektiren azami sürenin geçmiş olması ve daha uzun saklamayı haklı kılan bir şartın bulunmaması

hâllerinde, ilgili kişinin talebi üzerine veya re'sen silinir, yok edilir ya da anonim hale getirilir.

6. Kişisel Verilerin Güvenliğinin Sağlanması (Teknik ve İdari Tedbirler)

Kişisel verilerin güvenli saklanması, hukuka aykırı işlenmesinin ve erişimin önlenmesi ile hukuka uygun imhası için Kanun m.12 ve özel nitelikli veriler bakımından Kurul'un belirlediği yeterli önlemler çerçevesinde aşağıdaki tedbirler alınır.

6.1 İdari Tedbirler

Kişisel Veri İşleme Envanteri hazırlanmış ve güncel tutulmaktadır.
Çalışanlarla imzalanan sözleşmelerde sır saklama ve gizlilik hükümlerine yer verilmekte; gizlilik/bilgi güvenliği taahhütnameleri imzalatılmaktadır.
Politika ve prosedürlere uymayan çalışanlara yönelik disiplin süreci uygulanmaktadır.
Verilerin paylaşıldığı taraflarla gizlilik ve veri güvenliği sözleşmeleri/taahhütnameleri yapılmaktadır.
İlgili kişilere aydınlatma yükümlülüğü yerine getirilmektedir.
Özel nitelikli verilerin güvenliğine yönelik prosedürler belirlenmiş; bu süreçlerdeki çalışanlara özel eğitim verilmektedir.
Veri minimizasyonu uygulanmakta; kâğıt yoluyla aktarımda evrak gizlilik dereceli olarak gönderilmektedir.
Fiziksel arşiv alanlarına giriş-çıkış kontrol altına alınmakta; dış risklere (yangın, su baskını) karşı önlem alınmaktadır.
Kurum içi periyodik ve rastgele denetimler yapılmakta; veri ihlali hâlinde en kısa sürede ilgili kişiye ve Kurula bildirim yapılmaktadır.

6.2 Teknik Tedbirler

Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Ağ güvenliği, güvenlik duvarı ve zararlı yazılım (antivirüs) koruması kullanılmaktadır.
Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte ve teknik kontroller yapılmaktadır.
Saklama alanlarına erişimler loglanmakta; uygunsuz erişim denemeleri kontrol altında tutulmaktadır.
Silinen verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması sağlanmaktadır.
Güçlü parola politikası ve yetki matrisi uygulanmakta; veriler düzenli yedeklenmekte, güncel güvenlik yamaları yüklenmektedir.
Elektronik olan/olmayan ortamlardaki verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
Özel nitelikli veriler kriptografik yöntemlerle (şifreleme) saklanmakta; e-posta ile aktarım gerektiğinde KEP/şifreli kurumsal e-posta, sunucular arası aktarımda VPN/sFTP kullanılmaktadır.

7. Kişisel Verileri İmha Teknikleri

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli saklama süresinin sonunda kişisel veriler; Şirket tarafından re'sen veya ilgili kişinin başvurusu üzerine aşağıdaki tekniklerle imha edilir.

7.1 Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı	Açıklama
Sunucularda yer alan veriler	Saklama süresi sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamdaki veriler	Veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamdaki veriler	Evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için erişilemez hale getirilir; ayrıca üzeri okunamayacak şekilde karartılır.
Taşınabilir medyadaki veriler	Sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi yalnızca sistem yöneticisine verilerek, şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

7.2 Kişisel Verilerin Yok Edilmesi

Veri Kayıt Ortamı	Açıklama
Fiziksel (kâğıt) ortam	Kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / manyetik medya	Eritme, yakma veya toz haline getirme gibi fiziksel yöntemlerle yok edilir; manyetik medya ayrıca yüksek manyetik alana maruz bırakılarak okunamaz hale getirilir.

7.3 Kişisel Verilerin Anonim Hale Getirilmesi

Anonim hale getirme; kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli/belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirket gerektiğinde aşağıdaki yöntemlerden bir veya birkaçını kullanır: değişkenleri çıkarma, maskeleme, bölgesel gizleme, genelleştirme, veri türetme, gürültü ekleme. Kanun m.28 uyarınca anonim hale getirilen veriler araştırma, planlama ve istatistik amacıyla işlenebilir.

8. Saklama ve İmha Süreleri

Süreçlere bağlı tüm kişisel verilerde, kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde; veri kategorisi bazında süreler VERBİS kaydında; süreç bazında süreler ise aşağıdaki tabloda yer alır. Süreler; İş Kanunu, SGK, TTK/VUK, İSG ve ilgili sektör mevzuatı esas alınarak belirlenmiştir.

Süreç / Veri Türü	Saklama Süresi	İmha Süresi
Çalışan özlük kayıtları	İş ilişkisinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde (Haziran/Aralık)
İş sağlığı ve güvenliği / sağlık kayıtları	İş ilişkisinin sona ermesinden itibaren 15 yıl
Çalışan adayı / stajyer başvuru kayıtları	Başvurunun sonuçlanmasından itibaren 1 yıl
Bordro ve mali kayıtlar (SGK/VUK)	10 yıl
Tedarikçi / müşteri / cari hesap ve sözleşme kayıtları	İlişkinin sona ermesinden itibaren 10 yıl
Fatura, irsaliye ve ticari defter kayıtları (TTK/VUK)	10 yıl
Resmi yazışmalar / gelen-giden evrak	10 yıl
Hukuki uyuşmazlık / dava-icra kayıtları	Uyuşmazlığın kesinleşmesinden itibaren 10 yıl
İlgili kişi (KVKK) başvuru kayıtları	Başvurunun sonuçlanmasından itibaren 3 yıl
Ziyaretçi kayıtları	Ziyaretin tamamlanmasından itibaren 6 ay
Güvenlik kamerası (CCTV) görüntü kayıtları	30 gün
Personel devam kontrol sistemi (PDKS) kayıtları	2 yıl
Log kayıtları (5651 sayılı Kanun)	2 yıl
Saha aracı konum (GPS) kayıtları	1 yıl

Veri işleyen sıfatıyla dağıtım şirketleri adına işlenen abone/tüketici verilerinin saklama ve imha süreleri, ilgili dağıtım şirketinin (veri sorumlusu) politikası ve talimatı doğrultusunda belirlenir.

9. Periyodik İmha

Saklama süresi dolan kişisel veriler, Yönetmeliğin 11. maddesi uyarınca belirlenen 6 aylık periyotlarla, her yıl Haziran ve Aralık aylarında re'sen silinir, yok edilir veya anonim hale getirilir. Silme/yok etme/anonimleştirme işlemleri tutanakla kayıt altına alınır. Kâğıt ortamındaki işlemler ilgili birim yöneticisinin bilgisi dahilinde ilgili çalışan tarafından; elektronik ortamdaki işlemler Bilgi İşlem tarafından gerçekleştirilir. İmha işlemlerine ilişkin kayıtlar, diğer hukuki yükümlülükler saklı kalmak üzere en az 3 yıl saklanır.

10. Politikanın Yayınlanması ve Saklanması

Politika, ıslak imzalı (basılı) ve elektronik ortamda olmak üzere iki biçimde hazırlanır; Şirketin internet sitesinde yayımlanır ve KVKK dosyasında saklanır. Basılı nüsha İnsan Kaynakları biriminde muhafaza edilir.

11. Politikanın Güncellenmesi ve Yürürlükten Kaldırılması

Şirket; mevzuat değişiklikleri, Kurul kararları veya iş/bilişim süreçlerindeki gelişmeler doğrultusunda Politikada değişiklik yapma hakkını saklı tutar. Değişiklikler metne işlenir. Politika, internet sitesinde yayımlanmasıyla yürürlüğe girer.

BULUŞ ENERJİ ANONİM ŞİRKETİ
MERSİS: 0189140315500001 | Vergi Dairesi/No: Pamukkale V.D. / 1891403155
Adres: Sırakapılar Mah. 1778 Sk. No: 2 İç Kapı No: 6 Merkezefendi / DENİZLİ
KEP: bulusenerji@hs01.kep.tr | E-posta: bilgi@bulusenerji.com.tr | Tel: (0258) 265 02 23 | Web: bulusenerji.com.tr
Belge Sürümü: 1.0 | Yürürlük / Düzenleme Tarihi: [.....]