KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

المبادئ

تلتزم شركة GOLD HARVEST A.Ş. في عمليات الاحتفاظ بالبيانات الشخصية وإتلافها بالمبادئ التالية:

1. 
   

   يتم حذف البيانات الشخصية أو إتلافها أو جعلها مجهولة الهوية وفقًا تامًا لأحكام القانون والتشريعات ذات الصلة وقرارات مجلس حماية البيانات وهذه السياسة.

   
   
2. 
   

   ما لم يقرر مجلس حماية البيانات خلاف ذلك، تختار الشركة الطريقة المناسبة من بين طرق الحذف أو الإتلاف أو إخفاء الهوية.
   وفي حال وجود طلب من صاحب البيانات، يتم اختيار الطريقة الأنسب مع توضيح مبررات الاختيار.

   
   
3. 
   

   لا يجوز حذف البيانات الشخصية قبل انتهاء مدة الاحتفاظ المنصوص عليها في التشريعات ذات الصلة.

   
   

4. بالنسبة للبيانات التي لا توجد مدة احتفاظ لها في التشريعات:
   يتم الاحتفاظ بها طوال مدة العلاقة بين الشركة وصاحب البيانات أو لمدة العقد المبرم بين الطرفين.
   وبعد انتهاء هذه العلاقة أو انتهاء مدة العقد، تُحذف البيانات أو تُتلف أو تُجعل مجهولة الهوية في حال:

   • 
     

     انتهاء غرض المعالجة،

     
     
   • 
     

     أو زوال سبب الاحتفاظ،

     
     
   • 
     

     أو فقدانها لقيمتها كدليل.

     
     
5. 
   

   إذا لم ينتهِ الغرض من استخدام الشركة للبيانات الشخصية، أو إذا كانت التشريعات تُلزم بالاحتفاظ بالبيانات لمدة أطول من المدد المحددة في جدول فترات الاحتفاظ، أو إذا كانت فترة التقادم القضائي تتطلب الاحتفاظ لمدة أطول،
   فلا تُطبق المدد المذكورة في الجداول، بل يتم اعتماد المدة الأطول.

   
   
6. 
   

   يتم تسجيل جميع عمليات الحذف أو الإتلاف أو إخفاء الهوية التي تقوم بها الشركة، وتُحفظ هذه السجلات طوال المدة المطلوبة قانونيًا.

   
   
7. 
   

   عند زوال شروط المعالجة المنصوص عليها في المادتين 5 و 6 من القانون،
   تقوم الشركة بحذف أو إتلاف أو جعل البيانات مجهولة الهوية تلقائيًا أو بناءً على طلب صاحب البيانات.

   
   

عند تقديم صاحب البيانات طلبًا إلى الشركة بشأن ذلك:

• 
  

  تتم الإجابة على الطلب خلال مدة أقصاها 30 يومًا.

  
  
• 
  

  وفي حال كانت البيانات قد نُقلت إلى أطراف ثالثة، يتم إخطار هذه الأطراف لاتخاذ الإجراءات اللازمة.

  
  

الأسباب التي تستوجب الاحتفاظ بالبيانات أو إتلافها

تقوم شركة GOLD HARVEST A.Ş. بالاحتفاظ بالبيانات الشخصية للأسباب التالية، في إطار السياسة ووفقًا لما ورد في سياسة الخصوصية:

1. 
   

   استمرار الأنشطة التجارية.

   
   
2. 
   

   تنفيذ الالتزامات القانونية.

   
   
3. 
   

   استمرار العمليات الإدارية والتنظيمية.

   
   
4. 
   

   تنفيذ نشاط الاحتفاظ بالبيانات وفق المتطلبات القانونية.

   
   
5. 
   

   تنفيذ حقوق الموظفين والمزايا التابعة لهم.

   
   

الأسباب التي تستوجب الاحتفاظ بالبيانات الشخصية:

• 
  

  الاحتفاظ بالبيانات الشخصية لارتباطها مباشرة بإنشاء أو تنفيذ العقد.

  
  
• 
  

  الاحتفاظ بالبيانات لغرض إثبات حق أو ممارسته أو حمايته.

  
  
• 
  

  الاحتفاظ بالبيانات بسبب المصلحة المشروعة للشركة دون الإضرار بحقوق وحريات الأفراد.

  
  
• 
  

  الاحتفاظ بالبيانات لتنفيذ الالتزامات القانونية للشركة.

  
  
• 
  

  وجود نص قانوني صريح ينص على ضرورة الاحتفاظ بالبيانات.

  
  
• 
  

  وجود موافقة صريحة من صاحب البيانات في الحالات التي تتطلب ذلك.

  
  

الأسباب التي تستوجب الحذف أو الإتلاف أو إخفاء الهوية:

وفقًا للّائحة، يتم حذف أو إتلاف أو جعل البيانات مجهولة الهوية في الحالات التالية:

1. 
   

   تغيير أو إلغاء القواعد القانونية التي كانت أساسًا لمعالجة البيانات.

   
   
2. 
   

   انتهاء الغرض الذي تمت معالجة البيانات من أجله.

   
   
3. 
   

   زوال شروط المعالجة وفقًا للمادتين 5 و 6 من القانون.

   
   
4. 
   

   سحب صاحب البيانات موافقته الصريحة في الحالات التي تعتمد على الموافقة.

   
   
5. 
   

   قبول الشركة طلب صاحب البيانات بحذف أو إتلاف أو إخفاء هويتها.

   
   
6. 
   

   رفض الشركة للطلب أو عدم الرد خلال المدة القانونية، وتقوم الهيئة بقبول الشكوى واتخاذ القرار المناسب.

   
   
7. 
   

   انتهاء مدة الاحتفاظ القصوى دون توفر مبرر قانوني للاستمرار في الاحتفاظ.

   
   

طرق الإتلاف

تستخدم شركة GOLD HARVEST A.Ş. الطرق والتقنيات المناسبة لحذف البيانات الشخصية أو إتلافها أو جعلها مجهولة الهوية، وذلك وفقًا لمعايير القانون واللائحة. وتشمل هذه الطرق ما يلي:

أولًا: طرق الحذف

GOLD HARVEST A.Ş., kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre sayılan anonimleştirme yöntemlerinden bir ya da birkaçını elindeki verinin niteliğine, büyüklüğüne, fiziki ortamlarda bulunma yapısına, çeşitliliğine, veriden sağlanmak istenen fayda ve işleme amacına, verinin işleme sıklığına, aktarılacağı tarafın güvenilirliğine, anonim hale getirilmesi için harcanacak çabanın anlamlı olmasına, anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü ve etki alanına, verinin dağıtıklık/ merkezilik oranına, kullanıcıların ilgili veriye erişim yetki kontrolüne, anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcanan çabanın anlamlı olma ihtimaline bakarak karar verir. GOLD HARVEST A.Ş., bu anonimleştirme yöntemlerini kullanırken K-Anonimlik (K-Anonymity), L-Çeşitlilik (L-Diversity) ve T-Yakınlık (T-Closeness) istatistik yöntemlerini kullanabilir.

SAKLAMA VE İMHA SÜRELERİ

GOLD HARVEST A.Ş. tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

• Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır,
• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

   – Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler şartları oluşmuşsa, delil niteliği taşımıyorsa imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının GOLD HARVEST A.Ş. nezdindeki önem derecesine göre belirlenir.

   – Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında GOLD HARVEST A.Ş.’nin meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

  – Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Saklama süresi dolan kişisel veriler, işbu Politika’nın ekinde yer alan imha süreleri çerçevesinde, altı (6) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç (3) yıl süreyle saklanır.

GOLD HARVEST A.Ş. tarafından verilerin silinmesi, yok edilmesi ya da anonim hale getirilmesi işlemiyle görevli personel listesi ile saklama ve imha sürelerine ilişkin tabloya işbu Politika’nın ekinden ulaşabilirsiniz. (EK-1 Personel Unvan, Birim ve Görev Listesi, EK-2 Kişisel Verileri Saklama ve İmha Süreleri )

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN USULLER, TEKNİK VE İDARİ TEDBİRLER

  Şirket tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dâhilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.

  Bu kapsamda Şirket tarafından aşağıda belirtilmiş idari ve teknik tedbirler alınmakta, kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun olarak hareket edilmektedir. Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, GOLD HARVEST A.Ş. tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Gizlilik taahhütnameleri yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Şifreleme yapılmaktadır.

POLİTİKANIN YÜRÜRLÜĞE SOKULMASI, GÜNCELLENMESİ, İHLAL DURUMLARI VE YAPTIRIMLAR

• İşbu Politika, Şirket Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girecektir ve yürürlüğü itibariyle tüm iş birimleri, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır. GOLD HARVEST A.Ş.; işbu politikaya ve KVKK kapsamındaki ilgili mevzuata uygunluğu, çalışanlar ve veri işleyenler nazarında her zaman resen denetleme hakkını haizdir.
• GOLD HARVEST A.Ş. bu Politikayı gözden geçirme ve gerekli durumlarda Politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir Politika oluşturma hakkını saklı tutar. Politika, olağan olarak yılda bir defa gözden geçirilir ve gerekirse güncellenir. Politikanın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Şirket Yönetim Kurulu’na aittir.

• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
• Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Şirket Yönetim Kurulu’na bilgi verilecektir.
• Politikaya aykırı davranan çalışan hakkında, Şirket Yönetim Kurulu tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

DEĞİŞİKLİK NOTLARI

EK-1 Personel Unvan, Birim ve Görev Listesi

EK-2 Kişisel Verileri Saklama ve İmha Süreleri

Kişisel veriler, Politika’nın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir :

 GOLD HARVEST A.Ş’nin ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise o süre uygulama alanı bulacaktır.