YATIRIMCI İLİŞKİLERİ

METGÜN ENERJİ YATIRIMLARI A.Ş.  KİŞİSEL VERİLERİ İŞLEME, SAKLAMA ve İMHA POLİTİKASI

AMAÇ

İşbu Kişisel Veri İşleme ve İmha Politikası’nın (“Politika”) amacı, başta Anayasa olmak üzere, uluslararası sözleşmeler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 2016/679 sayılı Avrupa Birliği Veri Koruma Tüzüğü (General Data Protection Regulation, “GDPR”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ilgili yasal mevzuata uygun bir biçimde yürütülen kişisel verilerin işlenmesi ve korunması ile işlenen kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin usul ve esasları belirlemektir. 

Bu Politika, Metgün Enerji Yatırımları A.Ş.’nin (“Şirket”) sahibi olduğu ya da Şirket tarafından yönetilen, tüm kişisel verilerin işlenmesi, saklanması ve imhasına yönelik yürütülen faaliyetlerde uygulanmaktadır. Bu Politika’nın bir diğer amacı da kişisel veri işleme faaliyetlerine konu gerçek kişilerin, kişisel verilerinin işlenmesi konusunda bilgilendirilmesi, aydınlatılması ve şeffaflığın sağlanmasıdır. 

Bu Politika ile Kanun hükümleri arasında herhangi bir çelişki olması halinde, yürürlükteki mevzuat hükümleri geçerli olacaktır.

2. KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI İLİŞKİN İLKELER

● Hukuka ve Dürüstlük Kurallarına Uygun İşleme 

Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen genel ilkeler ile dürüstlük kurallarına uygun hareket edilmektedir. Bu kapsamda kişisel veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenmektedir.

● Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

İşlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Şirket bünyesinde oluşturulmaktadır.

● Belirli, Açık ve Meşru Amaçlarla İşleme

Şirket tarafından veri minimizasyonu çerçevesinde kişisel veriler, açık ve kesin veri işleme amaçlarına dayalı olarak ve bu amaçla gerekli olduğu kadar işlenmektedir. Verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. 

● İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

● Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süreler kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirket’in bu yönde uyguladığı politika esaslarına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

2.1. KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

● Kişisel Veri Sahibinin Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi

Kişisel veri sahibinin kişisel verileri, farklı bir şarta dayalı olarak işlenmediği durumlarda, açık rızaya dayalı olarak işlenmektedir. Kişisel veri sahipleri, işlenen kişisel verilerinin hangileri olduğu, kişisel verilerinin hangi amaçlarla ve hangi sebeplerle işlendiği, kişisel verilerinin hangi kaynaklardan toplandığı, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirilerek bu şekilde açık rızaları alınmaktadır. 

● Kanunlarda Açıkça Öngörülmesi

Kanunda açıkça kişisel veri işlenmesi öngörüldüğü hallerde Şirket, verisi işlenecek kişisel veri sahibinin ayrıca açık rızasını almadan kişisel verilerini işlemektedir.

● Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişisel veri sahibinin kendisinin ya da başka bir kişinin hayatını veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişisel veri sahibinin açık rızası alınmaksızın verileri işlenmektedir.

● Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel veriler işlenmektedir.

● Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Veri sorumlusu olarak hukuki yükümlülükleri yerine getirmek için veri işlemenin zorunlu olması halinde açık rıza alınmaksızın kişisel veri sahibinin verileri işlenmektedir.

● Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Kişisel veri sahibinin, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde de açık rızaya gerek olmaksızın veriler işlenmektedir.

● Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin açık rızası alınmaksızın verileri işlenmektedir.

● Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemenin zorunlu olması halinde kişisel veri sahibinin açık rızası alınmaksızın verileri işlenmektedir.

2.2. POLİTİKA İLE DÜZENLENEN KAYIT ORTAMLARI

Kişisel verilerin saklandığı elektronik ve fiziki saklama ortamları aşağıdaki tabloda belirtilmiştir. Aşağıda yer verilen elektronik ve fiziki saklama ortamları bu Politika’nın hazırlandığı tarih itibariyle Şirket tarafından kullanılmakta olan güncel saklama ortamları olup, zaman zaman bu ortamlarda değişiklik yapılması söz konusu olabilecektir.

Elektronik Saklama Ortamları Elektronik Olmayan Ortamlar
Sunucular (ERP sunucuları, etki alanı, yedekleme, e-posta, veritabanı, internet, dosya paylaşım, vb.)  Kağıt
Yazılımlar (Ofis yazılımları, Doküman Yönetim Sistemi, VERBİS.)  Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri), 
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.) Yazılı, basılı, görsel ortamlar
Kişisel bilgisayarlar (Masaüstü, dizüstü)  
Mobil cihazlar (telefon, tablet vb.)  
Optik diskler (CD, DVD vb.), çıkartılabilir bellekler (USB, Hafıza Kart vb.)  
Bölümlerin dosya sunucusundaki dosyaları,   
Yazıcı, tarayıcı, fotokopi makinesi  

2.3. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINA İLİŞKİN AÇIKLAMALAR

Şirket tarafından ilgili kişilerin kişisel verileri Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

2.3.1 Saklamayı Gerektiren Hukuki Sebepler

Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik ve yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır. 

2.3.2 İmhayı Gerektiren Sebepler

Kişisel veriler; 

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, 
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, 
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket veya Kurum tarafından kabul edilmesi, 
  • Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, 
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir, re’sen silinir veya anonim hale getirilir.

2.4. KİŞİSEL VERİLERİN GÜVENLİ ŞEKİLDE SAKLANMASI VE İMHA EDİLMESİ İLE İLGİLİ ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun’un 12’nci maddesi ve yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile bu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. 

2.4.1 Kişisel Verilerin Silinme Yöntemleri

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket kişisel verileri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:

Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, Bilgi Sistemleri Yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanması gereken süre sona erenler için ilgli evrak hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

2.4.2 Kişisel Verilerin Yok Edilme Yöntemleri

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket, kişisel verilerin yok edilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:

Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler Çeşitli teknolojik yöntemler kullanılarak fiziksel olarak yok edilmesi işlemi uygulanır. 

2.4.3 Kişisel Verilerin Anonim Hale Getirilme Yöntemleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. 

Kişisel verilerin anonim hale getirilmiş olması için kişisel verilerin, Şirket’in, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Şirket, kişisel verilerin anonim hale getirilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

2.5 SAKLAMA VE İMHA SÜRELERİ

Şirket, kişisel verileri ancak uymakla yükümlü olduğu ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza ettikten sonra imha etmektedir. 

Bu kapsamda Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri bu Politika’da belirtilen süreler boyunca saklamakta ve saklama süresinin bitimini takip eden ilk periyodik imha süresinde imha etmektedir. Kişisel veri sahibinin, Şirket’e başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde Şirket:

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa:
    • Kişisel veri sahibinin talebini en geç otuz gün içinde sonuçlandırır ve kişisel veri sahibine bilgi verir.
    • Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, kişisel veri sahibinin talebini Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını kişisel veri sahibine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

2.6. PERİYODİK İMHA SÜRELERİ

Şirket, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha etmektedir. Bu kapsamda Şirket, kişisel verileri imha etme yükümlülüğünün ortaya çıkması halinde kişisel verileri 6 aylık periyotlar halinde imha işlemine tabi tutmaktadır. Anılan süre, her hal ve koşulda yönetmeliğin 11’inci maddesinde belirtilen azami periyodik imha süresini aşmamaktadır. 

2.7. KİŞİSEL VERİ SAHİBİNİN HAK VE YÜKÜMLÜLÜKLERİ

Veri sahipleri, Şirket’le paylaşmış oldukları kişisel verilerin doğru, eksiksiz ve güncel olmasından ve diğer kişilere ait kişisel veriler paylaşılıyorsa bu verilerin geçerli ve mevzuata uygun şekilde toplanmasından sorumludur. Verisi işlenen kişi, şirkete kişisel verilerini sağladığı diğer kişileri bu bildirimin içeriği hakkında bilgilendirecek ve kişisel verilerinin Şirket tarafından bu bildirimde belirtildiği şekilde (transfer ve açıklama dahil) kullanılması için onaylarını almakla yükümlüdür. 

KVKK ve ilgili mevzuat kapsamda kişisel veri sahipleri;

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.

Kişisel veri sahipleri, https://metgunenerji.com.tr adresindeki formu kullanarak, taleplerini içerir başvuruyu açık, anlaşır bir şekilde ve kimlik ve adres bilgilerini tespit edici belgeleri de ekleyerek; yazılı ve ıslak imzalı olarak elden, postayla ya da noter kanalıyla Veri Sorumlusu Şirket’in merkez Genel Müdürlük adresine ulaştırabilmekte, metgun.enerji@hs03.kep.tr KEP adresine iletebilmekte ya da kvkk@metgunenerji.com.tr adresine e-posta gönderilebilmektedir. Şirket, cevap vermeden önce kimliği doğrulama hakkına sahip olmakla birlikte başvuruda;

  • Ad, soyad ve başvuru yazılı ise imzanın,
  • Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancı ise uyruk, pasaport numarası veya varsa kimlik numarasının,
  • Tebligata esas yerleşim yeri veya iş yeri adresinin,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarasının,
  • Talep konusunun, bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir. Talepler yukarıda belirtilen şekilde Şirket’e iletilmesi durumunda Şirket, talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde sonuçlandıracaktır.